課程介紹

課程連結

應急思想

保護現場（虛擬機器快照、history日誌copy）、 預設不可信（預設linux命令用自己的）、 靠譜人做事、 交叉檢查、 自動化工具輔助、 備份資料重灌系統、 全面排查總結反思 但凡接觸、必有痕跡 應急響應流程PDCERF，

linux應急響應基本命令

SUID S許可權
SGID X許可權
SBID

stat//檔案狀態
atime //檔案最後的訪問時間
ctime //檔案最後的許可權更改時間
mtime //檔案最後內容改變時間
net -antpleu //網路狀態
ps aux //程序狀態
top //動態顯示程序狀態
grep -i//忽略大小寫
md5sum //md5值
strings //字元打印出來
 

tcpdump //抓包
-i //指定網口
-w //忽略抓包資訊
tcp\udp //抓tcp\udp包
port //指定埠
host //指定域名

find //查詢
find 路徑 -name 檔名
find 路徑 -perm 許可權
find 路徑 檔案 -mtime -n //查詢檔案修改時間在n天內
find的特殊功能是能夠進行額外的動作，如上圖的 find / -type f -name "test.txt" -exec rm {} \;命令
1) {} 代表的是由find找到的內容，會被放置到{}位置中
2) exec 一直到\;為止，代表find額外動作的開始(-exec)到結束(\;)，在這中間的就是find指令內的額外動作，在本例中就是 rm ...
3) 因為; 在bash環境下是由特殊意義的，因此利用反斜槓來轉義