当前位置: 首页 > news >正文

【网络安全】Linux 应急响应-溯源-系统日志排查知识点

Linux 应急响应-溯源-系统日志排查知识点汇总

1. 查看当前已经登录到系统的用户 (w 命令)

w

2. 查看所有用户最近一次登录 (lastlog 命令)

lastlog
lastlog | grep -v "Never logged in"

3. 查看历史登录用户以及登录失败的用户 (lastlastb 命令)

last
lastb

4. SSH 登录日志分析 (/var/log/secure)

grep Failed /var/log/secure*

5. 查看系统历史命令 (.bash_history)

history
find / -name .bash_history

6. 计划任务日志 (/var/log/cron)

cat /var/log/cron* | awk -F':' '{print $NF}' | grep CMD | sort | uniq -c | sort -rn

7. 检查系统用户 (/etc/passwd, /etc/shadow, /etc/group)

head -n 1 /etc/passwd

8. 中间件日志 (/var/log/httpd/access_log)

cat /www/wwwlogs/access_log | less

9. 通过时间检查站点被黑客修改过的文件

find /www/wwwroot/ecshop.xueshenit.com/ -name "*.php" -mtime -1

10. 检查服务器已经建立的网络连接 (netstat 命令)

netstat -anutp

11. 通过 GScan 工具自动排查后门

使用 GScan 工具
unzip GScan-master.zip
cd GScan-master
python GScan.py --help
python GScan.py --pro

12. systemd-journald 服务分析系统日志

systemd-journald 持久化配置
mkdir /etc/systemd/journald.conf.d
vim /etc/systemd/journald.conf.d/99-prophet.conf
# 编辑配置文件,设置 Storage=persistent 等参数
systemctl restart systemd-journald
journalctl 查询日志
journalctl
journalctl -r
journalctl -u sshd
journalctl -f

13. 实战清理系统日志后使用 systemd-journald 分析日志

清理日志并使用 journalctl
echo > /var/log/secure
echo > /var/log/messages
# ... 对其他日志文件执行相同操作
journalctl --until "2021-11-05 17:47:00" -o short-precise

附加操作

自定义历史命令输出格式

编辑 /etc/profile/etc/bashrc 文件,添加如下内容:

export PROMPT_COMMAND='RETRN_VAL=$?;logger -p local6.debug "$(whoami) [$$]: $(history 1 | sed "s/^[ ]*[0-9]\\+[ ]*//" ) [$RETRN_VAL]"'
readonly PROMPT_COMMAND
查找特定时间范围内被修改过的文件
find /www/wwwroot/ecshop.xueshenit.com/ -name "*.php" -newermt '2021-08-01 9:00' ! -newermt '2021-09-15 21:00' | xargs ls -l

这些命令和操作步骤提供了对Linux系统进行应急响应和日志分析的基本方法。实际操作时,可能需要根据具体情况调整命令参数。

相关文章:

【网络安全】Linux 应急响应-溯源-系统日志排查知识点

Linux 应急响应-溯源-系统日志排查知识点汇总 1. 查看当前已经登录到系统的用户 (w 命令) w2. 查看所有用户最近一次登录 (lastlog 命令) lastlog lastlog | grep -v "Never logged in"3. 查看历史登录用户以及登录失败的用户 (last 和 lastb 命令) last lastb4. …...

Spark项目实训(一)

目录 实验任务一:计算级数 idea步骤分步: 完整代码: linux步骤分布: 实验任务二:统计学生成绩 idea步骤分布: 完整代码: linux步骤分步: 实验任务一:计算级数 请…...

爬虫基础1

一、爬虫的基本概念 1.什么是爬虫? 请求网站并提取数据的自动化程序 2.爬虫的分类 2.1 通用爬虫(大而全) 功能强大,采集面广,通常用于搜索引擎:百度,360,谷歌 2.2 聚焦爬虫&#x…...

vlan综合实验

1、实验拓扑 2、实验要求 1、pc1和pc3所在接口为access;属于vlan 2; pc2/pc4/pc5/pc6处于同一网段;其中pc2可以访问pc4/pc5/pc6; pc4可以访问pc6;pc5不能访问pc6; 2、pc1/pc3与pc2/pc4/pc5/pc6不在同一网段; 3、所有pc通过DHC…...

如何使用ffmpeg 实现10种特效

相关特效的名字 特效id 特效名 1 向上移动 2 向左移动 3 向下移动 4 颤抖 5 摇摆 6 雨刷 7 弹入 8 弹簧 9 轻微跳动 10 跳动 特效展示(同时汇总相关命令) pad背景显示 pad背景透明 相关命令(一会再讲这些命令,先往下看) # 合成特效语音 ffmpeg -y -loglevel erro…...

C语言如果变量全部在全局内存空间会怎么样

结论先行 应该根据内存使用的生命周期,选择合适的内存空间应该尽量使用连续内存如果不想在设计封装性上付出太多代价,全部放入全局空间也比较可取 空间类型特点全局空间生命周期最久,空间连续,变量分配紧致,但存在浪…...

【YOLO改进】换遍MMPretrain主干网络之ConvNeXt-Tiny(基于MMYOLO)

ConvNeXt-Tiny ConvNeXt-Tiny 是一种改进的卷积神经网络架构,其设计目的是在保持传统卷积神经网络优势的同时,借鉴了一些Transformer架构的成功经验。 ConvNeXt-Tiny 的优点 架构优化: ConvNeXt-Tiny 对经典ResNet架构进行了多种优化&#…...

【数据库】MySQL

文章目录 概述DDL数据库操作查询使用创建删除 表操作创建约束MySqL数据类型数值类型字符串类型日期类型 查询修改删除 DMLinsertupdatedelete DQL基本查询条件查询分组查询分组查询排序查询分页查询 多表设计一对多一对一多对多设计步骤 多表查询概述内连接外连接 子查询标量子…...

JVM运行时内存:垃圾回收器(Serial ParNew Parallel )详解

文章目录 1. 查看默认GC2. Serial GC : 串行回收3. ParNew GC:并行回收4. Parallel GC:吞吐量优先 1. 查看默认GC -XX:PrintCommandLineFlags:查看命令行相关参数(包含使用的垃圾收集器)使用命令行指令:ji…...

The Missing Semester of Your CS Education(计算机教育中缺失的一课)

Shell 工具和脚本(Shell Tools and Scripting) 一、shell脚本 1.1、变量赋值 在bash中为变量赋值的语法是foobar,访问变量中存储的数值,其语法为 $foo。 需要注意的是,foo bar (使用空格隔开)是不能正确工作的&…...

如何为ChatGPT编写有效的提示词:软件开发者的指南

作为一名软件开发者,特别是使用Vue进行开发的开发者,与ChatGPT等AI助手高效互动,可以极大地提升你的开发效率。本文将深入探讨如何编写有效的提示词,以便从ChatGPT中获取有用的信息和帮助。 1. 明确目标 在编写提示词之前&#…...

angular插值语法与属性绑定

在 Angular 中&#xff0c;您提供的两种写法都是用来设置 HTML 元素的 title 属性&#xff0c;但它们的工作方式有所不同&#xff1a; 插值语法 (Interpolation) <h1 title"{{ name }}">我的名字</h1> 属性绑定 (Property Binding) <h1 [title]&q…...

Python ❀ 使用代码解决今天中午吃什么的重大生存问题

1. 环境安装 安装Python代码环境参考文档 2. 代码块 import random# 准备一下你想吃的东西 hot ["兰州拉面", "爆肚面", "黄焖鸡", "麻辣香锅", "米线", "麻食", "羊肉泡馍", "肚丝/羊血汤&qu…...

做抖音小店需要清楚的5个核心点!

大家好&#xff0c;我是喷火龙。 不管你是在做抖音小店&#xff0c;还是在做其他的电商平台&#xff0c;如果已经做了一段时间了&#xff0c;但还是没有拿到什么结果&#xff0c;我所指的结果不是什么大结果&#xff0c;而是连温饱都解决不了&#xff0c;甚至说还在亏钱。 有…...

文件流下载优化:由表单提交方式修改为Ajax请求

如果想直接看怎么写的可以跳转到 解决方法 节&#xff01; 需求描述 目前我们系统导出文件时&#xff0c;都是通过表单提交后&#xff0c;接收文件流自动下载。但由于在表单提交时没有相关调用前和调用后的回调函数&#xff0c;所以我们存在的问题&#xff0c;假如导出数据需…...

基础3 探索JAVA图形编程桌面:逻辑图形组件实现

在一个宽敞明亮的培训教室里&#xff0c;阳光透过窗户柔和地洒在地上&#xff0c;教室里摆放着整齐的桌椅。卧龙站在讲台上&#xff0c;面带微笑&#xff0c;手里拿着激光笔&#xff0c;他的眼神中充满了热情和期待。他的声音清晰而洪亮&#xff0c;传遍了整个教室&#xff1a;…...

前后端部署笔记

windows版&#xff1a; 如果傻呗公司让用win电脑部署&#xff0c;类似于我们使用笔记本做局域网服务器&#xff0c;社内使用。 1.安装win版的nginx、mysql、node、jdk等 2.nginx开机自启参考Nginx配置及开机自启动&#xff08;Windows环境&#xff09;_nginx开机自启动 wind…...

设计模式9——适配器模式

写文章的初心主要是用来帮助自己快速的回忆这个模式该怎么用&#xff0c;主要是下面的UML图可以起到大作用&#xff0c;在你学习过一遍以后可能会遗忘&#xff0c;忘记了不要紧&#xff0c;只要看一眼UML图就能想起来了。同时也请大家多多指教。 适配器模式&#xff08;Adapte…...

一文了解基于ITIL的运维管理体系框架

本文来自腾讯蓝鲸智云社区用户&#xff1a;CanWay ITIL&#xff08;Information Technology Infrastructure Library&#xff09;是全球最广泛使用的 IT 服务管理方法&#xff0c;旨在帮助组织充分利用其技术基础设施和云服务来实现增长和转型。优化IT运维&#xff0c;作为企业…...

Web前端开发技术-格式化文本 Web页面初步设计

目录 Web页面初步设计 标题字标记 基本语法&#xff1a; 语法说明&#xff1a; 添加空格与特殊符号 基本语法&#xff1a; 语法说明: 特殊字符对应的代码: 代码解释&#xff1a; 格式化文本标记 文本修饰标记 计算机输出标记 字体font标记 基本语法&#xff1a; 属…...

Windows下OpenClaw保姆级教程:Phi-3-mini-128k-instruct模型接入指南

Windows下OpenClaw保姆级教程&#xff1a;Phi-3-mini-128k-instruct模型接入指南 1. 为什么选择OpenClawPhi-3-mini组合 去年我在处理日常文档工作时&#xff0c;发现大量重复性操作占据了80%的时间——整理会议纪要、生成周报草稿、批量重命名文件。直到偶然在技术社区看到O…...

Java实战:指定长度随机验证码生成+用户输入验证

哈喽&#xff0c;各位Java新手小伙伴&#xff01;今天咱们结合基础语法&#xff0c;实现两个实用小功能&#xff1a;一是生成指定长度的随机验证码&#xff08;支持数字大小写字母&#xff09;&#xff0c;二是实现用户输入验证码并验证&#xff1b;同时&#xff0c;会修复你提…...

Ardyno库:Dynamixel伺服电机的嵌入式底层通信框架

1. Ardyno库概述&#xff1a;面向Dynamixel伺服电机的嵌入式控制框架Ardyno是一个专为嵌入式平台设计的轻量级C/C库&#xff0c;用于精确、可靠地控制Robotis公司系列Dynamixel智能伺服电机&#xff08;如AX-12A、MX-28、XL-320、XH430、XM430等&#xff09;。其核心价值不在于…...

BilibiliDown:三步搞定B站视频下载,支持批量收藏夹与UP主作品批量保存

BilibiliDown&#xff1a;三步搞定B站视频下载&#xff0c;支持批量收藏夹与UP主作品批量保存 【免费下载链接】BilibiliDown (GUI-多平台支持) B站 哔哩哔哩 视频下载器。支持稍后再看、收藏夹、UP主视频批量下载|Bilibili Video Downloader &#x1f633; 项目地址: https:…...

MSF(etasploit Framework)工具使用与实战

MSF工具介绍工具简介全称Metasploit Framework&#xff0c;是漏洞研究、渗透测试、漏洞验证的一体化平台&#xff0c;主要有以下五大核心模块&#xff1a; Auxiliary&#xff08;辅助模块&#xff09;&#xff1a;漏洞扫描、信息收集、端口扫描、服务探测&#xff08;无攻击载荷…...

一站式B站直播录制解决方案:零基础掌握BililiveRecorder高效使用指南

一站式B站直播录制解决方案&#xff1a;零基础掌握BililiveRecorder高效使用指南 【免费下载链接】BililiveRecorder 录播姬 | mikufans 生放送录制 项目地址: https://gitcode.com/gh_mirrors/bi/BililiveRecorder 在数字内容爆炸的时代&#xff0c;如何永久保存喜爱的…...

收藏必备!小白程序员轻松入门大模型,带你理清AI核心概念全框架

AI浪潮已经刮了一年多&#xff0c;身边越来越多人聊AI&#xff0c;张口就是“agent”“skill”&#xff0c;听得人只能点头附和&#xff0c;似懂非懂&#xff1f;其实不是听不懂&#xff0c;而是没有把这些概念串起来&#xff0c;告诉你它们到底是什么、彼此有啥关系。 咱不聊复…...

FreeCache内存管理终极指南:零GC开销的预分配机制详解

FreeCache内存管理终极指南&#xff1a;零GC开销的预分配机制详解 【免费下载链接】freecache A cache library for Go with zero GC overhead. 项目地址: https://gitcode.com/gh_mirrors/fr/freecache 在Go语言开发中&#xff0c;内存管理和垃圾回收&#xff08;GC&am…...

Phi-4-mini-reasoning部署教程:Nginx反向代理7860端口实现域名访问

Phi-4-mini-reasoning部署教程&#xff1a;Nginx反向代理7860端口实现域名访问 1. 项目介绍 Phi-4-mini-reasoning是微软推出的3.8B参数轻量级开源模型&#xff0c;专为数学推理、逻辑推导和多步解题等强逻辑任务设计。这款模型主打"小参数、强推理、长上下文、低延迟&q…...

零基础掌握CheatEngine-DMA:游戏内存分析与修改全攻略

零基础掌握CheatEngine-DMA&#xff1a;游戏内存分析与修改全攻略 【免费下载链接】CheatEngine-DMA Cheat Engine Plugin for DMA users 项目地址: https://gitcode.com/gh_mirrors/ch/CheatEngine-DMA 传统内存修改遇到的3大痛点 当你尝试分析游戏内存或进行内存修改…...