应急响应(linux 篇,以centos 7为例)
一、基础命令
1.查看已经登录的用户w
2.查看所有用户最近一次登录:lastlog
3.查看历史上登录的用户还有登录失败的用户
历史上所有登录成功的记录
last
/var/log/wtmp
历史上所有登录失败的记录
Lastb
/var/log/btmp
4.SSH登录日志
查看所有日志:cat /var/log/secure
查看所有登录失败日志:grep Failed /var/log/secure*
所有登陆失败的日志中的第九列和第十一列:grep Failed /var/log/secure*|awk -F’ ’ ’{print $9,$11}'
每个ip登录次数排序:
由大到小grep Failed /var/log/secure*|awk -F’ ’ ’{print $9,$11}'|sort|uniq-c|sort -nr
由小到大grep Failed /var/log/secure*|awk -F’ ’ ’{print $9,$11}'|sort|uniq-c
查看所有登录成功的日志:grep Accept /var/log/secure*
打印登陆成功的日志的第九列和第十一列:grep Accepted /var/log/secure*|awk -’ ’ ‘{print $9,$11}’
排除不存在的用户名登录失败记录cat /var/log/secure*|grep Failed|grep-v "invalid"|awk '{print $9,$11}'
查询所有日志,过滤掉登录失败的,再过滤掉“invalid”:cat /var/log/secure*|grep Failed|grep -v "invalid"
然后打印第九列和第十一列
5.查询历史命令
history 查询当前用户历史命令
find / -name .bash history查询其他历史命令文件
cat+文件名:查看文件
find /-name *_history查询所有历史命令
查看所有命令find/-name : historylxargs cat
message 系统整体的信息
cron计划任务
boot启动日志
firewalld 防火墙日志
mail 邮件日志
6.计划任务
用户级别计划任务:
crontab -l
/var/spool/cron/root
cat /var/log/cron*|awk -F" " ‘{print $4,$NF}’
批量查看所有用户计划任务cat /etc/passwd|awk-F: '{print $1}'xargs -i crontab -l -u {}
系统级别的计划任务:
查看所有系统级别的计划任务find /etc/cron* -type f
7.检查用户账号
root:x:0:0:root:/root:/bin/bash
用户名
密码
UID
GID
用户全名或本地账号
开始目录登录使用的shell
打印uid=0的用户:awk -F: '$3==0{print $1}' /etc/passwd
查询空密码用户cat /etc/shadow|awk -F: '$2==""{print $1}’
8.中间件日志
查访问网站最多的10个ip:
cat /var/log/httpd/access_log"|awk -F" " '{print $1}'|sort|uniq-c|sort -nr|head -10
查访问网站最多的10个url:
cat /var/log/httpd/access_log*|awk -F" " ‘{print $7}'|sort|uniq-c|sort -nr|head -10
查询哪个时间段访问量最大:
cat /var/log/httpd/access_log*|awk-F" " ’{print $4}’|sort|uniq-c|sort -nr|head -10
查询是否有进行xss攻击:
cat /var/log/httpd/access_log*|grep "alert"
9.检查被黑客修改过的文件
查询一天内被修改过的php文件:
find /-name"*.php" -mtime -1
文件有三个时间属性
atime access_time 访问时间
mtime modify_time修改时间
ctime change_time变化时间(权限、所有者)
查看文件的三个时间属性:
stat
查询网站根目录下一天内是否有黑客上传一句话木马:
find /var/www/html/ -name "*.php" -mtime 0|xargs grep "eval"
10.网络连接netstat
-a显示所有连接
-n显示ip而不是显示域名
-p显示连接对应的程序/进程
-t显示tcp连接
-u显示udp
-l格式化
Proto Recv-Q Send-Q Local Address Foreign Addre5s
State PID/Program name
tcp 0 0 0.0.0.0:3386 0.0.0.0:*
LISTEN 1460/mysqld
listen 监听状态,等待别人连接
Established 已经建立连接
time_wait 我方主动发起断开连接请求,收到对方确认后的状态
Close_wait 我方调用close,关闭连接
syn_send 半连接状态,我方发送建立请求,等待对方的过程
查看所有已连接程序
Netstat -atupn|grep ESTABLISHED
查看我方就开放端口有哪些
Netstat -atupn|grep LISTEN
Netstat -atupn|grep 22
11.查进程ps
-a 查看所有终端进程,当前用户和其他用户
-e查看所有进程
-u指定用户查看这个用户进程
-x 显示没有终端的进程
-f 显示详细信息
-l 长格式显示
-p指定进程号
-t 指定终端
-c 显示指定命令的进程信息
R正在运行
S中断休眠
T停止
Z僵死
D不可中断
查进程名对应的进程号:
pgrep 进程名
pstree查看进程树,定位父进程,子进程
二、扫描工具
1.gscan
2.clamAV
(工具的安装和使用如有需要可私信我,手把手教学,包教会)
相关文章:
应急响应(linux 篇,以centos 7为例)
一、基础命令 1.查看已经登录的用户w 2.查看所有用户最近一次登录:lastlog 3.查看历史上登录的用户还有登录失败的用户 历史上所有登录成功的记录 last /var/log/wtmp 历史上所有登录失败的记录 Lastb /var/log/btmp 4.SSH登录日志 查看所有日志:…...
【Scrapy】Scrapy教程5——第一个Scrapy项目
文章目录 Scrapy目录结构第一个爬虫运行爬虫必要说明start_requests()和start_urls如何关闭allowed_domains的限制通过前几节的学习,我们已经了解了Scrapy的基本操作,下面我们开始第一个项目,我以本人的 网址为例进行爬虫讲解,之所以用我自己的网站,是因为我这个网站本来…...
亲测有效!使用Ollama本地部署DeepSeekR1模型,指定目录安装并实现可视化聊天与接口调用
文章目录 一、引言二、准备工作(Ollama 工具介绍与下载)2.1 Ollama介绍2.2 Ollama安装 三、指定目录安装 DeepSeek R1四、Chatbox 可视化聊天搭建4.1 Chatbox下载安装4.2 关联 DeepSeek R1 与 Chatbox 的步骤 五、使用 Ollama 调用 DeepSeek 接口5.1 请求…...
网络基础 【UDP、TCP】
1.UDP 首先我们学习UDP和TCP协议 要从这三个问题入手 1.报头和有效载荷如何分离、有效载荷如何交付给上一层的协议?2.认识报头3.学习该协议周边的问题 UDP报头 UDP我们先从示意图来讲解,认识报头。 UDP协议首部有16位源端口号,16位目的端…...
SQL知识体系
SQL复习 MySQL SQL介绍 SQL SQL的全拼是什么? SQL全拼:Structured Query Language,也叫结构化查询语言。 SQL92和SQL99有什么区别呢? SQL92和SQL99分别代表了92年和99年颁布的SQL标准。 在 SQL92 中采用(ÿ…...
深入浅出:CUDA是什么,如何利用它进行高效并行计算
在当今这个数据驱动的时代,计算能力的需求日益增加,特别是在深度学习、科学计算和图像处理等领域。为了满足这些需求,NVIDIA推出了CUDA(Compute Unified Device Architecture),这是一种并行计算平台和编程模…...
测试用例CAPL代码全解析⑩】)
【ISO 14229-1:2023 UDS诊断(ECU复位0x11服务)测试用例CAPL代码全解析⑩】
ISO 14229-1:2023 UDS诊断【ECU复位0x11服务】_TestCase10 作者:车端域控测试工程师 更新日期:2025年02月18日 关键词:UDS诊断协议、ECU复位服务、0x11服务、ISO 14229-1:2023 TC11-010测试用例 用例ID测试场景验证要点参考条款预期结果TC…...
大语言模型入门
大语言模型入门 1 大语言模型步骤1.1 pre-training 预训练1.1.1 从网上爬数据1.1.2 tokenization1.1.2.1 tokenization using byte pair encoding 1.3 预训练1.3.1 context1.3.2 training1.3.3 输出 1.2 post-training1:SFT监督微调1.2.1 token 1.3 强化学习1.3.1 基…...
【网络安全】零基础入门网络安全劝退指北
作为从16年接触网络安全的小白,谈谈零基础如何入门网络安全,有不对的地方,请多多指教。 这些年最后悔的事情莫过于没有把自己学习的东西积累下来形成一个知识体系。 如何入门 简单了解网络安全 网络安全就是指的确保网络系统中的数据不被别…...
【Go | 从0实现简单分布式缓存】-2:HTTP服务端与一致性哈希
本文目录 一、回顾1.1 复习接口 二、http标准库三、实现HTTP服务端四、一致性哈希 本文为极客兔兔“动手写分布式缓存GeeCache”学习笔记。 一、回顾 昨天已经开发了一部分项目,我们先来看看项目结构。 分布式缓存需要实现节点间通信,建立基于 HTTP 的…...
分享一个使用的音频裁剪chrome扩展-Ringtone Maker
一、插件简介 铃声制作器是一个简单易用的 Chrome 扩展,专门用于制作手机铃声。它支持裁剪音频文件的特定片段,并将其下载为 WAV 格式,方便我们在手机上使用。无论是想从一段长音频中截取精彩部分作为铃声,还是对现有的音频进行个…...
知识拓展:设计模式之装饰器模式
装饰器模式拓展 1. 什么是装饰器模式? 装饰器模式(Decorator Pattern)是一种结构型设计模式,允许向一个现有的对象添加新的功能,同时又不改变其结构。装饰器模式通过创建一个装饰类来包装原始类,从而在不修…...
服务器A到服务器B免密登录
#!/bin/bash # 变量定义 source_host"192.168.42.250" # 源主机 IP target_host"192.168.24.43" # 目标主机 IP target_user"nvidia" # 目标主机的用户名 ssh_port"6666" # SSH 端口号 # 生成 SSH…...
【kafka系列】At Most Once语义
目录 1. At-Most-Once语义的定义 2. Kafka实现At-Most-Once的机制 2.1 生产者端 2.2 消费者端 3. At-Most-Once示例 场景描述 3.1 生产者代码(可能丢失消息) 3.2 消费者代码(可能丢失消息) 4. 典型消息丢失场景分析 场景…...
ESP学习-1(MicroPython VSCode开发环境搭建)
下载ESP8266固件:https://micropython.org/download/ESP8266_GENERIC/win电脑:pip install esptools python.exe -m pip install --upgrade pip esptooo.py --port COM5 erase_flash //清除之前的固件 esptool --port COM5 --baud 115200 write_fla…...
CAS单点登录(第7版)10.多因素身份验证
如有疑问,请看视频:CAS单点登录(第7版) 多因素身份验证 概述 多因素身份验证 (MFA) 多因素身份验证(Multifactor Authentication MFA)是一种安全机制,要求用户提供两种…...
数据库提权总结
Mysql提权 UDF提权是利用MYSQL的自定义函数功能,将MYSQL账号转化为系统system权限 前提: 1.UDF提权条件 (1)Mysql版本大于5.1版本udf.dll文件必须放置于MYSQL安装目录下的lib\plugin文件夹下。 (2)Mysql…...
Docker__持续更新......
Docker 1. 基本知识1.1 为什么有Docker?1.2 Docker架构与容器化 画图解释 画图解释2. 项目实战 1. 基本知识 1.1 为什么有Docker? 用一行命令跨平台安装项目,在不同平台上运行项目。把项目打包分享运行应用。 1.2 Docker架构与容器化 准备机器,在机…...
28、深度学习-自学之路-NLP自然语言处理-做一个完形填空,让机器学习更多的内容程序展示
import sys,random,math from collections import Counter import numpy as npnp.random.seed(1) random.seed(1) f open(reviews.txt) raw_reviews f.readlines() f.close()tokens list(map(lambda x:(x.split(" ")),raw_reviews))#wordcnt Counter() 这行代码的…...
IDEA集成DeepSeek AI助手完整指南
在当今快速发展的软件开发领域,AI辅助编程工具正在成为开发者的重要助手。本文将详细介绍如何在IDEA中集成DeepSeek AI助手,帮助开发者提升编程效率。 一、环境准备 © ivwdcwso (ID: u012172506) 1.1 IDEA版本要求 在开始集成之前,需要确保你的IDEA版本满足要求: …...
04 redis数据类型
文章目录 redis数据类型string类型hash类型list类型set类型zset类型 (sortedset)通用命令 redis数据类型 官方命令::http://www.redis.cn/commands.html Redis 中存储数据是通过 key-value 格式存储数据的,其中 val…...
【R语言】主成分分析与因子分析
一、主成分分析 主成分分析(Principal Component Analysis, PCA)是一种常用的无监督数据降维技术,广泛应用于统计学、数据科学和机器学习等领域。它通过正交化线性变换将(高维)原始数据投影到一个新的坐标系ÿ…...
网络安全试题
ciw网络安全试题 (1)(单选题)使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于什么攻击类型? A、拒绝服务 B、文件共享 C、BIND漏洞 D、远程过程调用 &a…...
教育小程序+AI出题:如何通过自然语言处理技术提升题目质量
随着教育科技的飞速发展,教育小程序已经成为学生与教师之间互动的重要平台之一。与此同时,人工智能(AI)和自然语言处理(NLP)技术的应用正在不断推动教育内容的智能化。特别是在AI出题系统中,如何…...
51单片机入门_10_数码管动态显示(数字的使用;简单动态显示;指定值的数码管动态显示)
接上篇的数码管静态显示,以下是接上篇介绍到的动态显示的原理。 动态显示的特点是将所有位数码管的段选线并联在一起,由位选线控制是哪一位数码管有效。选亮数码管采用动态扫描显示。所谓动态扫描显示即轮流向各位数码管送出字形码和相应的位选ÿ…...
Java状态机
目录 1. 概念 2. 定义状态机 3. 生成一个状态机 4. 使用 1. 概念 在Java的应用开发里面,应该会有不少的人接触到一个业务场景下,一个数据的状态会发生多种变化,最经典的例子例如订单,当然还有像用户的状态变化(冻结…...
Android中获取so文件来源于哪个库
Android app中可能有很多的.so文件,有时我们不确定这些.so文件都是来源于哪些库的,可以通过在build.gradle中添加代码来统计。具体方法如下: 1.在com.android.application模块的build.gradle文件最后添加如下代码: // 获取所有的…...
MyBatis:动态SQL高级标签使用方法指南
一、引言 目前互联网大厂在搭建后端Java服务时,常使用Springboot搭配Mybatis/Mybatis-plus的框架。Mybatis/Mybatis-plus之所以能成为当前国内主流的持久层框架,与其本身的优点有关:支持定制动态 SQL、存储过程及高级映射,简化数…...
 在Spring Boot 中的应用场景)
工厂方法模式 (Factory Method Pattern) 在Spring Boot 中的应用场景
在 Spring Boot 日常开发中,工厂方法模式(Factory Method Pattern)的应用场景非常多,它可以帮助我们优雅地创建对象,解耦对象创建逻辑,提高代码的可维护性和可扩展性。下面我将详细列举几个典型的应用场景&…...
linux core分析---TLS读取异常
文章目录 TLS概念core 线程调用栈查看堆栈: bt查看所有线程堆栈:core分析:锁分析代码修改:thread8 f 4 (第四层堆栈) jcallback.c:186**thread10 f4 SynStack.cpp:1175tl_send_message 加锁修改tls_table1 socket_tab加锁保护2 增加tls_table 中buse的使用3 tls_tl_read_mes…...