linux应急常用命令＋技巧总结

 不输的办法只有一个，就是不上场

常用命令

查看History详细

设置history显示时间和用户名,更方便排查谁在什么时间执行了什么

查看文件改动

检查最近创建的php、jsp文件和上传目录 例如要查找24小时内被修改的JSP文件：

find ./ -mtime 0 -name "*.php"

与测试环境目录做对比

diff -r

账号

域名hosts

有一些挖矿程序会修改 文件，请看一下其中内容是否被更改过

前两天在另外的项目组上发现的某个挖矿病毒就会修改hosts文件

这是从那台服务器上提取的一些恶意的配置内容

日志

secure是应急中最常用的文件，主要记录系统存取数据的文件。日志默认存放位置：/var/log/，日志总是能发现一些蛛丝马迹。

注： 在一些较新的linux已经被替换，下面命令中的 可以尝试换成

常用的shell命令

1、grep显示前后几行信息:

2、grep 查找含有某字符串的所有文件

3、如何显示一个文件的某几行：

命令替换后门

黑客会替换替换top、ps等命令

检测

stat命令查看文件状态并且使用md5sum命令查看文件hash并将其与正常文件hash进行比较。如果确定被替换，使用正常文件替代坏文件即可

工具

1.利用自动化检测程序rookithunter进行检测

rookithunter可以自动化检查主机上可能存在的rookit木马文件，与被篡改的命令等，找到被篡改的命令后可以选择删除命令，然后重新安装命令。

webshell查杀

使用Webshell查杀工具 Windows下D盾等，Linux下河马等

参考

https://bypass007.github.io/Emergency-Response-Notes/LogAnalysis/%E7%AC%AC2%E7%AF%87%EF%BC%9ALinux%E6%97%A5%E5%BF%97%E5%88%86%E6%9E%90.html

欢迎师傅加个好友位(๑•̀ㅂ•́)و