账号
# 查找特权用户
awk -F ":" '$3==0{print $1}' /etc/passwd
# 查找可以远程登录的账号信息
awk '/\$1|\$6/{print $1}' /etc/shadow
# 查找 sudo 权限账户
cat /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
# CentOS 登录日志
# 查看登录成功的日期、用户名及 IP
grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'
# 查看试图爆破主机的 IP
grep refused /var/log/secure* | awk {'print $9'} | sort | uniq -c |sort -nr | more
grep "Failed password" /var/log/secure* | grep -E -o "(([0-9]{1,3})\.([0-9]{1,3})\.([0-9]{1,3})\.([0-9]{1,3}))" | uniq -c
# 查看试图爆破 root 账号的 IP
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort
# 查看爆破用户名字典
grep "Failed password" /var/log/secure | awk {'print $9'} | sort | uniq -c | sort -nr
# 查看当前登录用户和其行为
w
# 查看所有用户最后一次登录的时间
lastlog
# 查看所有用户的登录注销信息及系统的启动、重启及关机事件
last
定时任务
crontab -l
ls -lt /etc/cron.* /var/spool/cron/* /var/spool/anacron/*
cat /etc/crontab /etc/anacrontab
启动项
# CentOS
cat /etc/rc.local
ll /etc/rc*
chkconfig --list
/etc/systemd/system/multi-user.target.wants/
文件
# 3 * 24 小时内有修改的文件
find /etc/ /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime -3 | xargs ls -la
# 3 * 24 小时内新创建的文件
find /etc/ /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -ctime -3 | xargs ls -la
# 按时间排序,确认最近是否有命令被替换
ls -alt /usr/sbin /usr/bin /usr/local/bin
# 校验所有的 RPM 软件包
# S 表示文件长度发生了变化
# M 表示文件的访问权限或文件类型发生了变化
# 5 表示 MD5 校验和发生了变化
# D 表示设备节点的属性发生了变化
# L 表示文件的符号链接发生了变化
# U 表示文件 /子目录/ 设备节点的 owner 发生了变化
# G 表示文件 /子目录/ 设备节点的 group 发生了变化
# T 表示文件最后一次的修改时间是发生了变化
rpm -Va > rpm.log
# 查看文件时间
stats xxx
# 加锁防止修改
chattr +i /usr/bin /usr/lib /usr/lib64 /tmp /opt /etc /etc/init.d
# 解除锁
chattr -i /usr/bin /usr/lib /usr/lib64 /tmp /opt /etc /etc/init.d
lsattr
# 重命名 curl wget crontab 命令
网络
iptables -L
cat /etc/resolv.conf
cat /etc/hosts
cat /etc/hosts.allow
cat /etc/hosts.deny
进程
# 查找占用 CPU 最多的进程:运行 top 命令后,键入大写字母 P 按 CPU 排序;
# 查找占用内存最多的进程:运行 top 命令后,键入大写字母 M 按内存排序;
ps aux | sort -k4nr
# 查看进程文件
ls -la /proc/$pid/exe
# 查看进程打开的文件
lsof -p $pid
# 查看进程端口情况
netstat -anltp | grep $pid
# 查看 /usr/bin 下的程序进程
lsof -R | grep /usr/bin
本文标题:linux 木马查杀指南
版权声明:本文使用「署名-非商业性使用-相同方式共享」创作共享协议,转载或使用请遵守署名协议。