1、查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以“..”为名的文件夹具有隐藏属性 2、得到发现WEBSHELL、远控木马的创建时间,如何找出同一时间范围内创建的文件?...可以使用find命令来查找,如 find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前访问过的文件 3、针对可疑文件可以使用stat进行创建修改时间。...(1)查询某个用户在系统上执行了什么命令 使用root用户登录系统,检查/home目录下的用户主目录的.bash_history文件 (2)默认情况下,系统可以保存1000条的历史命令,并不记录命令执行的时间...a)保存1万条命令 sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile b)在/etc/profile的文件尾部添加如下行数配置信息: ###...上一般跟系统相关的日志默认都会放到/var/log下面,若是一旦出现问题,用户就可以通过查看日志来迅速定位,及时解决问题。
histappendexport PROMPT_COMMAND="history -a" # 3、让配置生效source /etc/profile 注意:历史操作命令的清除:history -c 该操作并不会清除保存在文件中的记录...注意:如果找不到任何可疑文件,文件可能被删除,这个可疑的进程已经保存到内存中,是个内存进程。...+1000M表示大于1000M的文件,-10M代表小于10M的文件 依据时间查找: # -atime 文件的访问时间# -mtime 文件内容修改时间# -ctime 文件状态修改时间(文件权限,所有者...2、得到发现WEBSHELL、远控木马的创建时间,如何找出同一时间范围内创建的文件?...3、针对可疑文件可以使用 stat 进行创建修改时间。
export PROMPT_COMMAND="history -a" # 3、让配置生效 source /etc/profile 注意:历史操作命令的清除:history -c 该操作并不会清除保存在文件中的记录...: kill -9 6071 注意:如果找不到任何可疑文件,文件可能被删除,这个可疑的进程已经保存到内存中,是个内存进程。...当我们需要开机启动自己的脚本时,只需要将可执行脚本丢在/etc/init.d目录下,然后在/etc/rc.d/rc_.d文件中建立软链接即可 语法: update-rc.d 脚本名或服务 #1、在/etc...2、得到发现WEBSHELL、远控木马的创建时间,如何找出同一时间范围内创建的文件?...3、针对可疑文件可以使用 stat 进行创建修改时间。
> /dev/null 2>&1 #每4个小时重启一次 具体重启命令根据自己的系统来,不一定就是systemctl restart php-fpm.service 然后现在就改成用脚本了,其实用脚本更麻烦...脚本使用方法: 1、将脚本命令保存为restartphp.sh(命令在下面,自己按需修改了保存) 2、把脚本放进/root文件夹 3、进入root文件夹,给脚本设置为可执行文件 chmod +x restartphp.sh...4、编辑定时任务 crontab -e 0 * * * * /root/restartphp.sh #脚本每小时执行一次,也按自己的需求改时间就行 保存定时任务,重启下crontab任务。.../bin/bash # 设置内存使用阈值 threshold=40 # 获取当前内存使用情况 total_memory=$(free | awk '/^Mem:/{print $2}') used_memory...=$(free | awk '/^Mem:/{print $3}') free_memory=$(free | awk '/^Mem:/{print $4}') available_memory_percentage
d、回收站、浏览器下载目录、浏览器历史记录 e、修改时间在创建时间之前的为可疑文件 3、得到发现WEBSHELL、远控木马的创建时间,如何找出同一时间范围内创建的文件?...查看帐号执行过的系统命令 1、root的历史命令histroy 2、打开/home各帐号目录下的.bash_history,查看普通帐号的历史命令 3、历史操作命令的清除:history -c但此命令并不会清除保存在文件中的记录...可以使用find命令来查找,如 find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前访问过的文件 3、针对可疑文件可以使用stat进行创建修改时间。...这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件 /var/log/btmp 记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用...同样这个文件也是一个二进制文件,不能直接vi,而需要使用last命令来查看 9.2.2日志分析技巧 1、定位有多少IP在爆破主机的root帐号 grep "Failed password for root
/lib 系统库保存目录 /mnt 系统挂载目录 /media 挂载目录 /root 超级用户的家目录 /tmp 临时目录 /sbin 命令保存目录(超级用户才能使用的目录) /proc 直接写入内存的...; -b:指定暂时存放文件的目录; -D:压缩文件内不建立目录名称; -f:此参数的效果和指定“-u”参数类似,但不仅更新既有文件,如果某些文件原本不存在于压缩文件内,使用本参数会一并将其加入压缩文件中...; -F:尝试修复已损坏的压缩文件; -h:在线帮助; -i:只压缩符合条件的文件; -j:只保存文件名称及其内容,而不存放任何目录名称; -J:删除压缩文件前面不必要的数据; -k:使用MS-DOS...-o:以压缩文件内拥有最新更改时间的文件为准,将压缩文件的更改时间设成和该文件相同; -S:包含系统和隐藏文件; -T:检查备份文件内的每个文件是否正确无误; -v:显示指令执行过程或显示版本信息;...-V:保存VMS操作系统的文件属性; -w:在文件名称里假如版本编号,本参数仅在VMS操作系统下有效; -x:压缩时排除符合条件的文件; -X:不保存额外的文件属性; -y:直接保存符号连接
-mtime -n +n 按照文件的更改时间来查找文件, - n表示文件更改时间距现在n天以内,+ n表示文件更改时间距现在n天以前。...示例 在目录中查找更改时间在n日以前的文件并删除它们 find ....查找系统中的每一个普通文件,然后使用xargs命令来测试它们分别属于哪类文件 # 显示为: # ./log2013.log: empty # ....-type f | xargs file 在整个系统中查找内存信息转储文件(core dump) ,然后把结果保存到/tmp/core.log 文件中 find / -name "core" -print...# 查找/opt/app/conf中properties文件格式的文件名,去掉前面的路径,只保留文件名 find /opt/app/conf -name "*.properties"|awk -F "/
lib 存放必要 的运行库 /mnt 存放临时的映射文件系统,通常用来挂载使用 /proc 存放存储进程和系统信息 /root 超级用户的主目录 /sbin 存放系统管理程序 /tmp 存放临时文件 /...通用时间) 使用date查看过去/将来的时间 1....文件尺寸 3. I节点号 4. 创建时间/访问时间/状态(属 主、组、权限)修改时间 5.权限 6.链接文件个数 7....,将在屏幕上输出 3.在不用重定向至文件之前,是不会改变文件现有内容以避免修改文件时出现问题 示例: 1.将install.log的第1-3行删除 $sed ‘1,3d’ install.log 2.对...显示install.log的第四行 $awk 'NR==4' install.log 5.打印install.log文件中包含data字段行的第二区域 $awk ‘/data/ {print $2}’
生成效果: 1 2018-07-10 19:45:39 192.168.204.1 root source /etc/profile 3、历史操作命令的清除:history -c 但此命令并不会清除保存在文件中的记录...,因此需要手动删除.bash_profile文件中的记录。...这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件 /var/log/btmp 记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用...,甚至添加用户和修改用户密码都会记录在这个日志文件中 日志分析技巧: 1、定位有多少IP在爆破主机的root帐号: grep "Failed password for root" /var/log...文件的属主(所有者)是否改变 G 文件的属组是否改变 T 文件的修改时间是否改变 如果命令被替换了,如何去还原回来: 文件提取还原过程:
lib 存放必要 的运行库 /mnt 存放临时的映射文件系统,通常用来挂载使用 /proc 存放存储进程和系统信息 /root 超级用户的主目录 /sbin 存放系统管理程序 /tmp 存放临时文件 /...(通用时间) 使用date查看过去/将来的时间 1....文件尺寸 3. I节点号 4. 创建时间/访问时间/状态(属 主、组、权限)修改时间 5.权限 6.链接文件个数 7....,将在屏幕上输出 3.在不用重定向至文件之前,是不会改变文件现有内容以避免修改文件时出现问题 示例: 1.将install.log的第1-3行删除 $sed ‘1,3d’ install.log 2.对...显示install.log的第四行 $awk 'NR==4' install.log 5.打印install.log文件中包含data字段行的第二区域 $awk ‘/data/ {print $2}’
在Linux操作系统中,可以使用各种命令和工具来处理和转换文本文件。当需要将以逗号分隔的CSV文件转换为以制表符分隔的TSV文件时,可以使用一些简单的命令和技巧来实现。...例如:Name Age CountryJohn 25 USAAlice 30 Canada在CSV文件中,字段之间使用逗号分隔,在TSV文件中使用制表符分隔。...执行以下命令来将CSV文件转换为TSV文件,并将输出保存到新的文件中:awk 'BEGIN {FS=","; OFS="\t"} {$1=$1}1' input.csv > output.tsv在上面的命令中...该命令使用awk的特定语法将逗号分隔的字段转换为制表符分隔的字段,并将结果输出到TSV文件中。...备份原始文件:在进行任何转换操作之前,建议备份原始CSV文件,以防出现问题或需要还原更改。验证转换结果:在转换完成后,建议使用文本编辑器或命令行查看生成的TSV文件,以确保转换成功并且字段正确分隔。
f 使用档案文件或设备,这个选项通常是必选的。请留意,在 f 之后要立即接档名喔!不要再加参数! k 保存已经存在的文件。例如我们把某个文件还原,在还原的过程中,遇到相同的文件,不会进行覆盖。...m 在还原文件时,把所有文件的修改时间设定为现在。 M 创建多卷的档案文件,以便在几个磁盘中存放。 v 详细报告tar处理的文件信息。如无此选项,tar不报告文件信息。 w 每一步都要求确认。...-mtime -n +n 按照文件的更改时间来查找文件, - n表示文件更改时间距现在n天以内,+ n表示文件更改时间距现在n天以前。...语法:awk '{pattern + action}' {filenames} 其中 pattern 表示 AWK 在数据中查找的内容,而 action 是在找到匹配内容时所执行的一系列命令。...awk语言的最基本功能是在文件或者字符串中基于指定规则浏览和抽取信息,awk抽取信息后,才能进行其他文本操作。完整的awk脚本通常用来格式化文本文件中的信息。 通常,awk是以文件的一行为处理单位的。
uniq 命令用于检查及删除文本文件中重复出现的行列,一般与 sort 命令结合使用。 ? ---- 7. 检测系统守护进程(ls) 命令: ls /etc/crontab ?...---- 任务及用户活动排查命令 说明:机器使用过程中难免会留下一些痕迹 ---- 1....---- 在没有options和pattern的情况下,可以使用cat命令 ? ---- 6....查找最近24小时内修改过的文件(find) 命令: find ./ -mtime 0 find 命令用来在指定目录下查找文件。 参数 -mtime n 按照文件的更改时间来找文件,n为整数。...-mtime+1 表示文件修改时间为大于1天的文件,即距离当前时间2天 (48小时)之外的文件 -mtime -1 表示文件修改时间为小于1天的文件,即距离当前时间1天 (24小时)之内的文件 ----
uniq 命令用于检查及删除文本文件中重复出现的行列,一般与 sort 命令结合使用。 图片 7....检测系统守护进程(ls) 命令:ls /etc/crontab 图片 任务及用户活动排查命令 说明:机器使用过程中难免会留下一些痕迹 1....)' /etc/shadow 没有的话啥都不输出 图片 在没有options和pattern的情况下,可以使用cat命令 图片 6....参数 -mtime n 按照文件的更改时间来找文件,n为整数。 例: -mtime 0 表示文件修改时间距离当前为0天的文件,即距离当前时间不到1天(24小时)以内的文件。...-mtime+1 表示文件修改时间为大于1天的文件,即距离当前时间2天(48小时)之外的文件 -mtime -1 表示文件修改时间为小于1天的文件,即距离当前时间1天(24小时)之内的文件 5.
ls # 显示目录内容 ls -l # 以列表显示形式显示目录内容,通常在~/.bashrc文件中增加一行:alias ll='ls -l' # 以后就可以直接使用别名...ll了,更方便 ll -h # 以人类可读的方式显示文件大小 ll -t # 以文件的修改时间排序,最新修改的在最前面 ll -tr # 以文件的修改时间排序,最新修改的在最后面.../null 代表垃圾箱,不想要保存的东西都可以重定向到这里 输出重定向就是将命令的结果重定向到文件,而不是输出到屏幕,通常用于保存命令的结果 ....记录与字段 记录是一次读入的内容,通常是文件的一行,保存在字段变量 0中,记录可以被分割成字段,保存在变量 1, 2,..., NF 中。...表达式与操作符 Awk 表达式的符号与 C 语言的类似,基本的表达式有数字,字符串,变量,字段,数组以及函数调用。变量无需声明,它们在首次使用时被初始化为null。
本文所有操作和截图皆在本地环境下的靶机中进行 前言 上一篇 红队视角下Linux信息收集 我们谈到红队是以提权和后渗透为主要目的而进行的信息收集,本次谈一谈在蓝队应急响应中Linux系统下比较关键的内容...还有其中几个比较常用的日志文件: /var/log/dmesg : 核心启动日志,系统启动时会在屏幕显示与硬件有关的信息,这些信息会保存在这个文件里面....[vlrcrn5zpw.png] message 日志,一般内核及大多数系统消息都被记录到公共日志文件 /var/log/messages 中,而其他一些程序消息被记录到不同的文件中,日志消息还能够记录到特定的存储设备中...lastlog 文件在每次有用户登录时被查询。可以使用 lastlog 命令检查某特定用户上次登录的时间,并格式化输出上次登录日志 /var/log/lastlog 的内容。...查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以“..”为名的文件夹具有隐藏属性,针对可疑文件查看创建修改时间。
ARGC 命令行参数个数 ARGV 命令行参数排列 ENVIRON 支持队列中系统环境变量的使用 FILENAME...-prune 使用这一选项可以使find命令不在当前指定的目录中查找,如果同时使用-depth选项,那么-prune将被find命令忽略。 -user 按照文件属主来查找文件。...-group 按照文件所属的组来查找文件。 -mtime -n +n 按照文件的更改时间来查找文件, - n表示文件更改时间距现在n天以内,+ n表示文件更改时间距现在n天以前。...-nogroup 查找无有效所属组的文件,即该文件所属的组在/etc/groups中不存在。 -nouser 查找无有效属主的文件,即该文件的属主在/etc/passwd中不存在。...file2 查找更改时间比文件file1新但比文件file2旧的文件。
以后就可以直接使用别名ll了,更方便 ll -h # 以人类可读的方式显示文件大小 ll -t # 以文件的修改时间排序,最新修改的在最前面 ll -tr # 以文件的修改时间排序...---- df -h # 查看磁盘使用情况,-h表示以人类可读的方式显示容量大小 du -sh # 查看当前目录使用了多少磁盘空间 du -sh * # 查看当前目录下各文件或文件夹使用的磁盘空间.../null 代表垃圾箱,不想要保存的东西都可以重定向到这里 输出重定向就是将命令的结果重定向到文件,而不是输出到屏幕,通常用于保存命令的结果 ....记录与字段 记录是一次读入的内容,通常是文件的一行,保存在字段变量 中,记录可以被分割成字段,保存在变量 1, ,, NF 中。...表达式与操作符 Awk 表达式的符号与 C 语言的类似,基本的表达式有数字,字符串,变量,字段,数组以及函数调用。变量无需声明,它们在首次使用时被初始化为null。
实际上这意味着为了熟练使用 Linux,你需要知道如何从一个程序中获取输出,并将其提供给另一个程序,通常会在此过程中修改它。...只打印目录列表中的后 5 个条目。 只打印修改时间和文件名。注意我如何使用awk,这比cut更聪明。...按此顺序打印文件名和修改时间。这又是cat不能做的事情。 工整地打印文件名和修改时间。注意现在输出如何变得更清晰。 仅打印目录列表中包含bash的行。 将目录列表的输出写入文件ls.out。...在 Linux 中,有一个标准机制,用于获取从子进程到父进程的信息,这个机制称为退出状态或返回代码。...当程序在执行期间没遇到错误时,它返回0,如果发生某些错误,则此代码不为零。就是这么简单。Bash 中的这个退出代码保存到?环境变量,你现在知道了,可以使用$?来访问。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
