常规命令操作

查看流量大小

ifconfig查看RX packets（数据包数量）后面的数字是否异常多

进程查看

1. ps -aux或ps-ef

功能： 查看完整进程表

2. top -c -o %CPU

参数解释：

-c 显示进程的命令行

-p 显示进程的pid

2. ps -eo pid,ppid,%mem,%cpu,cmd --sort=-%cpu | head -n 5

功能： 输出占用前5的进程

3. lsof -i -PnR

功能： 查看网络通信情况

4. ps aux | grep [指定pid]

功能： 寻找指定pid对应的进程

5. lsof -p [指定pid]

功能： 查看指定pid的进程打开了哪些文件

6. lsof [文件路径及名称]

功能： 查看谁在占用某个文件

7. 功能： 查看隐藏进程

1
2
3

ps -ef | awk '{print}' | sort -n | uniq >1
ls /proc |sort -n |uniq >2
diff 1 2

8. md5sum [文件路径及名称]

功能： 计算文件的MD5值

特定安全事件的处置

webshell查杀

在线使用：SHELLPUB.COM在线查杀

病毒/rootkit查杀

chkrootkit功能:

• 检测是否被植入后门、木马、rootkit
• 检测系统命令是否正常
• 检测登录日志

使用方法:

1
2
3
4
5

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf
chkrootkit.tar.gz
cd chkrootkit-0.52
make sense

编译完成没有报错的话执行检查

./chkrootkit

综合查杀工具

悬镜安全-DevSecOps数字供应链安全开拓者

rkhunter工具

rkhunter功能:

• 系统命令(Binary)检测,包括MD5校验
• Rootkit检测
• 本机敏感目录、系统配置、服务及套间异常检测
• 三方应用版本检测

使用方法:

1
2
3
4
5

Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/
rkhunter-1.4.4.tar.gz tar -zxvf rkhunter-1.4.4.tar.gz
cd rkhunter-1.4.4
./installer.sh --install
rkhunter -c

注： 通常情况下Linux的恶意程序处置，靠人工解决。

网络行为分析

系统信息

who 查看当前登录的账户

uname -a 查看系统信息

netst -ano 查看网络和端口情况

netstat -utnpl 简单查看端口及使用端口的进程

lsof -i :[端口号] 查看进程和端口的对应关系

arp -a 查看arp表（查看mac地址是否有重复）

ls -l /proc/[pid]/exe或file /proc/[pid]/exe 查看某个pid对应的文件路径

使用iptables屏蔽ip

阻止数据包传入（入站规则）：iptables -A INPUT -s [ip地址] -j DROP

阻止数据包传出（出站规则）：iptables -A OUTPUT -d [ip地址] -j DROP

如果把DROP都改为ACCEPT就是只允许某个ip的通信（白名单）

清理所有的已设置的规则：iptables -F

拓展：

用iptables封锁和x.com的域名通信

iptables -I INPUT -ptcp --dport 80 -m string --string "x.com" --algo bm -j DROP

启动项排查

启动项存在的路径

• /etc/init.d/ （服务的启动脚本）
• /etc/xinetd.d

查看rc.local文件

可能存在于：

• /etc/init.d/rc.local
• /etc/rc.d/rc[0-6].d/（文件夹里放的是指向init.d的链接，0-6的数字指的是启动优先级）
• /etc/profile.d/

计划任务排查

crontab -l查看计划任务

crontab -r删除计划任务

crontab -e使用编辑器编辑计划任务

拓展：

计划任务可能具体存放的位置：

• /etc/crontab
• /var/spool/cron/[用户名]
• /var/spool/cron/*
• /var/spool/anacron/*
• /etc/crontab/*
• /etc/cron.d/*
• /etc/cron.时间/*

服务排查

cat /etc/services 查看网络服务

拓展：端口的分配

1-1024 系统保留，只能root使用

1025-4999 客户端程序自由分配

5000-65535 服务器端程序自由分配

服务自动启动

命令语法： chkconfig --level [运行级别] [服务名] [on/off]

运行级别解释：

0 - 关机

1- 单用户模式

2- 无网络连接的多用户命令行模式

3 - 有网络连接的多用户命令行模式

4 - 不可用

5 - 图形界面多用户模式

6 - 重启

例如：

chkconfig --level 2345 httpd on也可写作chkconfig httpd on

chkconfig --list 查看服务自启动状态

chkconfig --del 删除相关服务

文件检查

webshell后门可以通过sftp复制出来

敏感目录文件分析

/etc/init.d

/usr/bin

/usr/sbin

文件属性分析

ls -alt 按修改时间排序

file [文件名及其路径] 检查文件类型

find / *.xxx -perm 4777 特殊权限文件查找

ls -al /tmp | grep "Feb 10" 查看二月十号变更的隐藏文件（筛选用）

敏感目录

1
2
3
4
5
6

/tmp
/root
/bin
/usr/bin
/usr/sbin
/sbin

文件的高级查找

find [路径] -uid 0 -print 查找特权文件

find [路径] -size +10000k -print 查找大于10000k的文件

find [路径] -name "..." -print 查找文件名为…的文件

md5sum -b [文件]计算MD5

whereis [文件名] 查找文件路径

检查账号

账户本身检查

w 查看所有登录用户及系统状态

cat /etc/passwd或less /etc passwd用户信息文件

ls -l /etc/passwd 查看上面文件的修改时间

cat /etc/shadow 用户密码

usermod -L [用户名] 禁用账户（不能登录）

usermod -U [用户名] 启用账户

userdel -r [用户名] 删除账户

userdel [用户名] 删除账户并删除其对应/home目录

用户登录检查

last 用户登录检查（数据源/var/log/wtmp和/var/log/btmp）

lastb 上次登录失败（数据源/var/log/btmp）

lastlog上次登录成功（数据源/var/log/lastlog）

last -x reboot 上次重启

last -x shutdown上次关机

（数据源/var/log/lastlog和/var/log/secure）

/var/log/message 存储的认证信息，可以追踪恶意用户登录行为

历史命令

history 查看历史命令

history -c 清除历史命令

日志分析

默认日志/var/log/

more /etc/rsyslog.conf 查看日志情况