linux系統應急響應排查手冊
阿新 • • 發佈:2021-08-04
linux系統應急響應排查手冊
系統登陸日誌
/var/log/wtmp //登陸成功的資訊,包括使用者登入、登出及系統的啟動、停機的事件 /var/log/btmp //登陸失敗的資訊 /var/run/utmp //正在登陸的資訊 /var/log/secure //系統認證資訊日誌,包括使用者登陸成功、登陸失敗日誌
wtmp
last -f /var/log/wtmp last //登陸成功的資訊,記錄資訊包括登陸使用者、登陸IP、時間
- 1 表示登陸使用者
- 2 其中pts/0、pts/1表示虛擬終端terminal,tty2表示新開啟的終端teletype,:0表示本地
- 3 記錄登陸IP地址,:0表示本地登陸,3.10.0-862.el7.x也表示本地
- 4 5 記錄登陸開始時間到登陸結束時間
btmp
last -f /var/log/btmp lastb //記錄登陸失敗的資訊,記錄資訊包括失敗使用者、嘗試登陸IP、嘗試登陸時間
- 1 登陸使用者
- 2 表示登陸失敗,ssh:notty表示no terminal
- 3 表示登陸IP
- 4 表示嘗試登陸時間
utmp
last -f /var/run/utmp //記錄正在登陸使用者資訊
- 1 表示登陸使用者
- 2 表示登陸虛擬終端
- 3 表示登陸IP
- 4 表示登陸時間
secure
cat /var/log/secure //系統認證資訊日誌,包括使用者登陸成功、登陸失敗日誌
- Accepted 表示使用者密碼登陸成功
- Failed 表示使用者密碼登陸失敗
lastlog
lastlog //表示所有使用者最近的登陸資訊
系統使用者排查
排查高許可權使用者
awk -F: '{if($3==0)print $1}' /etc/passwd
排查可登陸使用者
cat /etc/passwd | grep /bin/bash
檢視空口令使用者
awk -F: '{if($2==0)print $1}' /etc/shadow
啟動項排查
ls -al /etc/rc.d ls -al /etc/init.d/ cat /etc/rc.local cat /etc/init.d/rc.local
/etc/rc.d
ls -al /etc/rc.d/etc/init.d
ls -al /etc/init.d/
/etc/rc.local
cat /etc/rc.local
/etc/init.d/rc.local
任務計劃
crontab -l ls -al /var/spool/cron/ ls /etc/cron*
crontab -l
crontab -l ls -al /var/spool/cron/ cat /var/spool/cron/root
/etc/cron*
ls /etc/cron*
程序排查
ps -aux //靜態顯示程序狀態 top //動態顯示程序狀態
ps -aux
ps -aux //顯示所有包含使用者的程序 ps -aux --sort==%cpu | head -10 //按照CPU大小排序
- USER: 程序擁有者
- PID: pid
- %CPU: 佔用的 CPU 使用率
- %MEM: 佔用的記憶體使用率
- VSZ: 佔用的虛擬記憶體大小
- RSS: 佔用的記憶體大小
- TTY: 終端的次要裝置號碼 (minor device number of tty)
- STAT: 該行程的狀態:
- D: 無法中斷的休眠狀態 (通常 IO 的程序)
- R: 正在執行中
- S: 靜止狀態
- T: 暫停執行
- Z: 不存在但暫時無法消除
- W: 沒有足夠的記憶體分頁可分配
- <: 高優先序的行程
- N: 低優先序的行程
- L: 有記憶體分頁分配並鎖在記憶體內 (實時系統或捱A I/O)
- START: 行程開始時間
- TIME: 執行的時間
- COMMAND:所執行的指令
top
top
網路狀態排查
netstat -antpl
netstat -antpl
PID排查
losf -p 程序PID