当前位置：首页 > news >正文

linux应急排查

news 2025/7/6 21:30:13

常用命令

查看登录用户和活动

whoami：显示当前登录用户的用户名。

w：显示当前登录到系统上的用户列表和他们正在执行的命令。

last：显示最近登录到系统的用户列表、登录时间和来源IP地址。

ps aux：列出当前正在运行的所有进程，以及它们的详细信息。

网络连接和端口检查

netstat -tuln：列出所有当前监听的TCP和UDP连接以及对应的端口号。

lsof -i：显示当前打开的网络连接和相关进程的信息。

tcpdump：捕获网络流量进行分析，例如：tcpdump -i eth0 port 80 捕获进入网卡 eth0 的 HTTP 流量。

文件和目录检查

find /path/to/directory -name "filename"：在指定目录中查找特定文件。

ls -al /path/to/directory：列出指定目录下的所有文件和目录，包括隐藏文件。

file /path/to/file：确定文件类型。

系统性能和资源监控

top：实时显示系统的进程和资源使用情况。

htop：交互式显示系统的进程和资源使用情况。

free -m：显示系统内存使用情况。

df -h：显示磁盘空间使用情况。

日志分析

tail -f /var/log/syslog：实时监视系统日志文件。

grep "keyword" /var/log/syslog：在系统日志中搜索包含关键字的行。

命令参数：
whoami - 显示当前登录用户的用户名。
参数：无。w 或者 who - 显示当前登录到系统上的用户列表，以及他们正在执行的命令。
参数：无。ps aux - 列出当前正在运行的所有进程。
参数：a：显示所有用户的进程，而不仅仅是当前用户。u：以用户为主要显示格式，显示详细的进程信息。netstat -tuln - 列出所有当前监听的网络连接和端口。
参数：t：仅显示TCP连接。u：仅显示UDP连接。l：仅显示监听状态的连接。n：以数字形式显示IP地址和端口号，而不进行反向解析。top 或者 htop - 显示当前系统的实时性能信息。
参数：无。last 或者 lastlog - 显示最近登录到系统的用户列表。
参数：无。history - 显示当前用户执行过的命令历史记录。
参数：无。find 或者 locate - 在文件系统中搜索文件或目录。
参数：name：按文件名进行搜索。type：指定搜索的文件类型。user：指定所有者进行搜索。mtime：按照文件修改时间进行搜索。lsof - 列出当前打开的文件和网络连接。
参数：i：显示互联网相关的文件。p：显示指定进程打开的文件。u：显示指定用户打开的文件。ifconfig 或者 ip addr - 显示网络接口的配置信息。
参数：无。chkrootkit 或者 rkhunter - 用于检测常见的Rootkit和后门程序。
参数：无。tcpdump 或者 Wireshark - 抓取和分析网络流量。
参数：根据具体需求来使用。这些工具有丰富的参数选项来过滤和分析网络数据包。iptables 或者 firewalld - 配置和管理防火墙规则。
参数：根据具体需求来使用。这些工具有不同的参数选项来添加、删除或修改防火墙规则。journalctl - 查看系统日志。
参数：-u <unit>：仅显示指定单位的日志。-p <priority>：仅显示指定优先级的日志。md5sum 或者 sha1sum - 计算文件的哈希值。
参数：无。
webshell 查杀

linux 版：

河马 webshell 查杀：

http://www.shellpub.com

深信服 Webshell 网站后门检测工具：

http://edr.sangfor.com.cn/backdoor_detection.html

Rootkit 查杀

chkrootkit :

http://www.chkrootkit.org

使用方法：
wgetftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gztar zxvf chkrootkit.tar.gzcdchkrootkit-0.52makesense#编译完成没有报错的话执行检查./chkrootkit
rkhunter

http://rkhunter.sourceforge.net

使用方法：
Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gztar -zxvfrkhunter-1.4.4.tar.gzcdrkhunter-1.4.4./installer.sh --installrkhunter -c
入侵排查

1、查询特权用户 (uid 为 0)
[root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd
2、查询可以远程登录的帐号信息
[root@localhost ~]# awk '/$1|$6/{print $1}' /etc/shadow
3、除root 帐号外，其他帐号是否存在 sudo 权限。如非管理需要，普通帐号应删除 sudo 权限
[root@localhost ~]# more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)"
4、禁用或删除多余及可疑的帐号
usermod -L user    禁用帐号，帐号无法登录，/etc/shadow第二栏为 ! 开头userdel user       删除user 用户userdel -r user    将删除user用户，并且将/home目录下的user目录一并删除
通过 .bash_history 查看帐号执行过的系统命令

5、root的历史命令
histroy
6、打开/home 各帐号目录下的 .bash_history，查看普通帐号的历史命令

为历史的命令增加登录的IP地址、执行命令时间等信息

7、端口

使用 netstat 网络连接命令，分析可疑端口、IP、PID
netstat -antlp|more
查看下pid所对应的进程文件路径，

运行 ls -l /proc/$PID/exe 或 file /proc/$PID/exe（$PID为对应的 pid 号）

8、进程

使用 ps 命令，分析进程
ps aux | grep pid

linux应急排查

常用命令查看登录用户和活动 whoami：显示当前登录用户的用户名。 w：显示当前登录到系统上的用户列表和他们正在执行的命令。 last：显示最近登录到系统的用户列表、登录时间和来源IP地址。 ps aux：列出当前正在运行的所有进程&…...

编程日记 2023/11/1 3:29:05

Apache POI及easyExcel读取及写入excel文件

目录 1.excel 2.使用场景 3.Apache POI 4.easyExcel 5.总结 1.excel excel分为两版，03版和07版。 03版的后缀为xls，最大有65536行。 07版的后缀为xlsx，最大行数没有限制。 2.使用场景将用户信息导出到excel表格中。将excel中的数…...

编程日记 2023/11/1 3:28:03

为什么写作

1记录生活，表达自己的想法和情感，提高沟通能力。 2年轻的时候就有写作的意愿，一直未动笔。 3想突破自己看看自己能写到什么程度。锻炼自己更好组织思路，提高逻辑思维能力。 4给自己的生活增添一些爱好，更好地理解和…...

编程日记 2023/11/1 3:27:01

python基于VGG19实现图像风格迁移

目录 1、原理 2、代码实现 1、原理图像风格迁移是一种将一张图片的内容与另一张图片的风格进行合成的技术。风格（style）是指图像中不同空间尺度的纹理、颜色和视觉图案，内容（content）是指图像的高级宏观结构。实…...

编程日记 2023/11/1 3:23:56

BoredHackerBlog: Cloud AV RT日记

目录信息搜集 WEB漏洞攻击拿shell 信息搜集首先ifconfig查看自己IP， netdiscover查看同网段下主机第三个应该是目标靶机。用nmap查看靶机开放端口： 开放22和8080，看看8080开的啥服务 WEB漏洞攻击看到让我们输入邀请码。有输入框的第…...

编程日记 2023/11/1 3:21:55

数据结构之“初窥门径”

目录前言： 一，数据结构起源二，基本概念和术语 2.1数据 2.2数据元素 2.3数据项 2.4数据对象 2.5数据结构三，逻辑结构与物理结构 3.1逻辑结构 3.1.1集合结构 3.1.2线性结构 3.1.3树形结构 3.1.4图形结构 3.2物理结…...

编程日记 2023/11/1 3:20:54

目录文档语法示例旋转元素 transform-rotate旋转过渡旋转动画参考文章文档 https://developer.mozilla.org/zh-CN/docs/Web/CSS/transform 语法 /* Keyword values */ transform: none;/* Function values */ transform: matrix(1, 2, 3, 4, 5, 6); transform: translate…...

编程日记 2023/11/1 3:19:53

如何理解AutoGPT

AutoGPT和GPT-4都是OpenAI公司的产品。AutoGPT是一个实验性开源应用程序，展示了GPT-4语言模型的能力。GPT-4是OpenAI研发的人工智能语言模型。 AutoGPT在GitHub主页上有151k星（151k星代表了151,000个用户点赞了该项目），AutoGPT获…...

编程日记 2023/11/1 3:18:52

【网络知识必知必会】聊聊网络层IP协议

文章目录前言IP 协议格式总结前言在之前的博文中, 我们聊过了传输层中的两个重点协议 TCP 和 UDP, 本文我们再来聊聊网络层中的一个协议IP, 简单认识一下 IP 协议格式. IP 协议与 TCP 协议的复杂度也不妨多让, 不过我们在这里只是简单的聊一聊 IP 协议的报文格式就行, 毕竟…...

编程日记 2023/11/1 3:17:50

66. 加一

给定一个由整数组成的非空数组所表示的非负整数，在该数的基础上加一。最高位数字存放在数组的首位， 数组中每个元素只存储单个数字。你可以假设除了整数 0 之外，这个整数不会以零开头。示例 1： 输入： digits …...

编程日记 2023/11/1 3:14:44

逻辑(css3)_强制不换行

需求如上图做一个跑马灯数据，时间、地点、姓名、提示文本字数都不是固定的。逻辑思想个人想法是给四个文本均设置宽度，不然会出现不能左对齐的现象。此时四个文本均左对齐， 垂直排列样式也比较好看，但是出现一个缺点&#…...

编程日记 2023/11/1 3:12:42

营收净利双降、股价下跌四成，敷尔佳带伤闯关“双11”

今年双11预售已经开启，敷尔佳在天猫、抖音等电商平台火热营销；营销热业绩冷，敷尔佳的三季报不及预期。 10月23日，哈尔滨敷尔佳科技发展有限公司(下称“敷尔佳”，301371SZ)公布2023年三季报，其三季度营收净…...

编程日记 2023/11/1 3:11:40

C语言KR圣经笔记 2.8自增和自减 2.9位运算 2.10赋值

2.8 自增和自减操作符 C提供了两个不同寻常的操作符，用于对变量进行自增和自减。自增操作符对操作数加上1，而自减操作符 -- 对操作数减去1。我们已经频繁使用对变量进行自增，如： if (c \n)nl; 不寻常之处在于和 -- 既能用作…...

编程日记 2023/11/1 3:10:39

PHP的Excel导出与导入

下载地址（注意php版本大于7.3可能会报错） GitHub - PHPOffice/PHPExcel: ARCHIVED 解压 1、导出 Excel $data[[name>a,age>11],[name>b,age>22],[name>d,age>33], ]; $fileds["name">"名称","age"…...

编程日记 2023/11/1 3:08:37

Ubuntu自建git服务器

Ubuntu 安装 gitlab-ce sudo apt-get update sudo apt-get install gitlab-ce 安装成功 sudo apt-get install gitlab-ce 正在读取软件包列表... 完成正在分析软件包的依赖关系树正在读取状态信息... 完成下列【新】软件包将被安装：gitlab-ce 升…...

编程日记 2023/11/1 3:07:34

【面试专题】并发编程篇①

📃个人主页：个人主页 🔥系列专栏：Java面试专题 1.线程和进程的区别线程和进程都是操作系统中的概念，它们的主要区别如下： 资源分配：进程是操作系统中的资源分配的基本单位，每个进程…...

编程日记 2023/11/1 3:06:33

Linux Centos7安装后，无法查询到IP地址，无ens0，只有lo和ens33的解决方案

文章目录前言1 查看network-scripts目录2 创建并配置 ifcfg-ens33 文件3 禁用NetworkManager4 重新启动网络服务总结前言在VMware中，安装Linux centos7操作系统后，想查询本机的IP地址，执行ifconfig命令 ifconfig结果如下： 结…...

编程日记 2023/11/1 3:04:29

行为型模式-访问者模式

在访问者模式中，我们使用了一个访问者类，它改变了元素类的执行算法。通过这种方式，元素的执行算法可以随着访问者改变而改变。这种类型的设计模式属于行为型模式。根据模式，元素对象已接受访问者对象，这样访问者对象就…...

编程日记 2023/11/1 3:03:28

go-kit中如何开启websocket服务

在Go-Kit中，可以使用github.com/go-kit/kit/transport/http包来开启WebSocket服务。以下是一个简单的示例代码，演示了如何在Go-Kit中开启WebSocket服务： package mainimport ("context""fmt""net/http""…...

编程日记 2023/11/1 3:02:26

私有网络的安全保障，WorkPlus Meet内网视频会议助力企业高效会议

在企业内部沟通与协作中，视频会议成为了一种必不可少的沟通方式。然而，传统的互联网视频会议往往受制于网络不稳定因素，给企业带来不便与困扰。WorkPlus Meet作为一款专注内网视频会议的软件，致力于为企业打造高效、稳定的内网视频…...

编程日记 2023/11/1 3:01:25

反向工程与模型迁移：打造未来商品详情API的可持续创新体系

在电商行业蓬勃发展的当下，商品详情API作为连接电商平台与开发者、商家及用户的关键纽带，其重要性日益凸显。传统商品详情API主要聚焦于商品基本信息（如名称、价格、库存等）的获取与展示，已难以满足市场对个性化、智能…...

编程新知 2025/6/15 17:37:51

Docker 运行 Kafka 带 SASL 认证教程

Docker 运行 Kafka 带 SASL 认证教程 Docker 运行 Kafka 带 SASL 认证教程一、说明二、环境准备三、编写 Docker Compose 和 jaas文件docker-compose.yml代码说明：server_jaas.conf 四、启动服务五、验证服务六、连接kafka服务七、总结 Docker 运行 Kafka 带 SASL 认…...

编程新知 2025/7/5 19:58:23