针对centos 7
1~winows上可以使用cmder访问centos 7,不会乱码。官方地址:https://cmder.net
2~ls -alt tmp/ 显示/tem/目录下的所有文件及其属性,包括隐藏文件。
3~ls -alt /etc/init.d/ 开机启动项
4~ls -alt |head -n -10 指定目录下文件的时间排序前10
5~stat /tmp/setRps.log 查看可疑文件的创建时间,修改时间,访问时间。
6~ find / -mtime 0 -name "*.php" 最近24小时被修改过的php文件,n*24到(n+1)*24
7~find / -ctime -0 最近24小时新增的文件
8~ls -al /tmp | grep "April" 特定目录下某个时间点变更过的文件
9~find / -iname "*.php" -perm 777 根目录下777权限的php文件。
10~find/grep/ls的命令清单。
11~netstat -antlp | more 分析可疑的端口,IP,PID
12~ps aux |grep mysql 查看mysql服务的进程
13~ps aux |grep -v root 排除root用户的进程
14~lsof -i :80 查看指定端口对应的程序
15~ls -alt /usr/bin |head -10 命令目录最近的时间排序
16~ ls -alt /usr/bin | grep "Apr" 根据特定时间进行匹配
17~ps -ef |awk '{print}' | sort -n |uniq >1,ls /proc |sort -n |uniq>2,查看隐藏进程
18~history或者cat /root/.bash_history,查看命令历史,关注wget,ssh命令
19~cat /etc/passwd 查看是否有可疑账户添加
20~awk -F : '{if($3==0)print $1}' /etc/passwd,查看UID为0的账户。
21~cat /etc/passwd |grep -E "/bin/bash$",查看能够登录的账号
22~crontab -l,查看当前的计划任务
23~ls /etc/cron* 查看计划任务相关的文件
24~ cat /etc/rc.local 查看rc.local文件
25~ chkconfig,查看开机启动
26~lastlog 最近一次的登录记录
27~lastb 用户登录失败的信息,可以看到对方的源IP,来源/var/log/btmp
28~last 显示用户最近登录成功信息,日志源/var/log/utmp(正在本系统的用户信息),/var/log/wtmp(登录过本系统的用户信息)
29~echo $PATH 查看是否存在敏感信息
30~strings命令查找二进制文件中的可打印字符串
31~cd /etc/ssh/,查看是否存在可疑的公钥
32~chkrootkit,官方下载地址http://www.chkrootkit.org/
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvf chkrootkit.tar.gz
cd chkrootkit-0.53
yum install -y gcc gcc-c++ make
yum install glibc-static
make sense
./chkrootkit
对于infected警惕。
33~Rkhunter,官方下载地址:http://rkhunter.sourceforge.net/
wget https://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
tar -zxf rkhunter-1.4.6.tar.gz
cd rkhunter-1.4.6
./installer.sh --install
rkhunter --propupd
ls /var/lib/rkhunter/db/rkhunter.dat
rkhunter --check
rkhunter --check --sk,自动选择enter
rkhunter --update 更新版本
官方问答:
https://sourceforge.net/p/rkhunter/rkh_code/ci/master/tree/files/FAQ
34~RPM check
centos 7自带的rpm软件包检测,rpm -Va
35~打包/var/www文件夹,在windows本地杀毒
yum install -y unzip zip
zip /root/www.zip /var/www
scp root@10.10.8.8:/root/www.zip /var/www
查杀病毒木马
360杀毒(中国) https://sd.360.cn/
腾讯电脑管家(中国) https://guanjia.qq.com/
火绒安全软件(中国) https://www.huorong.cn/
卡巴斯基杀毒免费版(俄罗斯) https://www.kaspersky.com.cn/free-antivirus
小红伞杀毒免费版(德国) https://www.avira.com/zh-cn
Avast杀毒免费版(捷克) https://www.avast.com/zh-cn/index
谷歌virustotal在线病毒检测 https://www.virustotal.com/gui/
36~日志文件所在地
/var/log/message 整体系统信息
/var/log/auth.log 系统授权信息,包含用户登录和使用授权
/var/log/userlog 所有等级用户信息
/var/log/cron crontab命令是否正确执行
/var/log/xferlog linux ftp日志
/var/log/lastlog 记录登录用户日志
/var/log/secure 输入的账号密码,成功失败都有
/var/log/faillog 登录系统不成功日志
/var/log/nginx/wordpress-access.log 例如wordpress日志
37~users 显示当前登录的用户
38~定位爆破主机的root账户
grep "Accepted" /var/log/authlog |awk '{print $11}' |sort |uniq -c |sort -nr |more
39~less demo.log 查看日志,可以上下滚动
40~tail -1f demo.log 查看日志第一行
41~find /root/ -type f -mtime -3 最近3天内改动过的文件
42~find /root/ -type f atime -3 最近3天内被访问过的文件
43~who或者w 查看当前登录用户,tty本地登录,pts远程登录
44~uptime 用户登录的时间
45~userdel user 删除user用户,userdel -r user可以删除user在/home下的目录
46~history -c 可以清除历史命令,但是文件还在/home文件夹下的.bash_profile中
47~init 0关机,init 1 安全模式,init 2 简单命令行模式,init 3 完全命令行模式,init 4 系统保留,init 5 图形模式,init 6 重启。
48~crontab -e crontab编辑当前crontab文件
49~/var/spool/cron/*
/etc/crontab,/etc/cron.d/*,/etc/cron.daily/*,/etc/cron.hourly/*,/etc/cron.monthly/*,/etc/cron.weekly/,/etc/anacrontab,/var/spool/anacron/* 关注以下目录下是否存在恶意程序
