作者博客：https://blubiu.github.io

Liunx應(yīng)急一直都是安全行業(yè)中的重點，

由于是全命令行界面，排查起來也沒那么方便，

也一直想做這方面的筆記，今天抽空來總結(jié)一下。

目錄：

現(xiàn)場環(huán)境

如果是Linux系統(tǒng)的話，見過最多的是CentOS 6，Linux是全命令界面的，

如果是Windows系統(tǒng)的話，一般是Windows server 2008

常見應(yīng)急問題

大多數(shù)應(yīng)急常見的問題都是挖礦，或者是被植入菠菜

小部分是中了勒索病毒，如果是勒索病毒的話，看看360、騰訊有沒有什么

解密工具，

如果沒有的話就重裝系統(tǒng)吧，自求多福 （逃。。

排查思路及方法

本節(jié)將講解一些基本的流程，以及一些常用的命令。

基本流程

1. 接到應(yīng)急指令后，一般都需要到客戶現(xiàn)場去處理的，最好帶上電腦

   和筆記本。

2. 到達(dá)現(xiàn)場后，跟客戶溝通，我方需要確認(rèn)一些信息(我在Windows

   安全應(yīng)急的第三篇有講解一些)，
   方便定(shuai)位(guo)問題，后面客戶可能會讓你上機操作，或者是

   使用你自己電腦登錄目標(biāo)機器查找問題。

3. 無論是挖礦還是菠菜，流程都差不多，

找出問題 –> 解決問題 –> 編寫報告

有句傳言道是：掃描一分鐘，報告一個鐘，

如果是菠菜的話，那要多注意注意是不是修改了網(wǎng)站配置文件還是直接在網(wǎng)頁上值入的鏈接。

進(jìn)程排查命令

整理一些基本的命令，使用不分先后順序

這里只簡單說明，

服務(wù)器被入侵后，攻擊者難免會利用惡意程序來達(dá)到自己的目的。

1. 查看當(dāng)前系統(tǒng)狀態(tài)(top)

top命令：可以持續(xù)的監(jiān)視進(jìn)程的信息。

挖礦應(yīng)急通常優(yōu)先使用top命令來查看系統(tǒng)進(jìn)程，

一般挖礦病毒站用CPU比較大

2. 查看當(dāng)前系統(tǒng)進(jìn)程信息(ps)

ps命令：可以查看進(jìn)程的瞬間信息。
常用參數(shù)：

1. -a：顯示現(xiàn)行終端機下的所有程序，包括其他用戶的程序。

2. -e：列出程序時，顯示每個程序所使用的環(huán)境變量。

3. -f：顯示UID,PPIP,C與STIME欄位。

3. 查看非root運行的進(jìn)程(ps)

命令：

ps -U root -u root -N

4. 查看用戶root運行的進(jìn)程(ps)

命令：

ps -u root

5. 查看有沒有奇怪進(jìn)程(ps)

命令：

ps -aef | grep inetd

grep?是搜索命令

inetd?程序是一個Linux守護進(jìn)程.

6. 檢測隱藏進(jìn)程(ps)

命令：

ps -ef | awk '{print}' | sort -n |uniq >1

命令：

ls /proc | sort -n |uniq >2

sort?命令將文本文件內(nèi)容加以排序,可針對文本文件的內(nèi)容，以行為單位來排序。-n?參數(shù)依照數(shù)值的大小排序。

uniq?命令用于檢查及刪除文本文件中重復(fù)出現(xiàn)的行列，一般與 sort 命令結(jié)合使用。

7. 檢測系統(tǒng)守護進(jìn)程(ls)

命令：

ls /etc/crontab

任務(wù)及用戶活動排查命令

說明：機器使用過程中難免會留下一些痕跡

1. 查看當(dāng)前有誰登陸在服務(wù)器上(who)

who?命令查看當(dāng)前登錄用戶（tty本地登陸 pts遠(yuǎn)程登錄）

命令：

who

w?命令查看系統(tǒng)信息，想知道某一時刻用戶的行為

2. 查看當(dāng)前登陸用戶的IP信息(who)

命令：

who -m

3. 查看近期用戶登陸情況(last)

命令：

last -n 5    ## -n 5 表示輸出5條

4. 查看歷史命令(history)

命令：

history 5    ##  5 表示輸出最近使用的5條命令

5. 查看空口令賬號(awk)

awk是一種編程語言，用于對文本和數(shù)據(jù)進(jìn)行處理的

語法：awk [options] ‘pattern{action}’ file

命令：

awk -F: '($2=="")' /etc/shadow

沒有的話啥都不輸出

在沒有options和pattern的情況下，可以使用cat命令

6. 查看uid為0的賬號(awk)

命令：

awk -F: '($3==0)' /etc/passwd

7. 查看uid為0的賬號(grep)

命令：

grep -v -E "^#" /etc/passwd | awk -F: '$3==0{print $1}'

8. 查看進(jìn)程樹是否所有異常進(jìn)程存在一個父進(jìn)程、判斷進(jìn)程的父子關(guān)系(pstree)

命令：

pstree -p

網(wǎng)絡(luò)排查命令

說明：挖礦病毒避免不了要跟主機通信

1. 列出本機所有的連接和監(jiān)聽的端口，查看有沒有非法連接(netstat)

netstat?命令用來打印Linux中網(wǎng)絡(luò)系統(tǒng)的狀態(tài)信息。
常用參數(shù)：

1. -a或–all：顯示所有連線中的Socket。

2. -c或–continuous：持續(xù)列出網(wǎng)絡(luò)狀態(tài)。

3. -i或–interfaces：顯示網(wǎng)絡(luò)界面信息表單。

4. l或–listening：顯示監(jiān)控中的服務(wù)器的Socket。

5. -n或–numeric：直接使用ip地址，而不通過域名服務(wù)器。

6. -t或–tcp：顯示TCP傳輸協(xié)議的連線狀況。

7. -u或–udp：顯示UDP傳輸協(xié)議的連線狀況。

命令：

netstat -lntp

2. 查看誰在使用某個端口(lsof)

lsof?命令用于查看你進(jìn)程開打的文件，打開文件的進(jìn)程，進(jìn)程打開的端口(TCP、UDP)。
常用參數(shù)：

1. -g：列出GID號進(jìn)程詳情；

2. -d<文件號>：列出占用該文件號的進(jìn)程；

3. -i<條件>：列出符合條件的進(jìn)程。（4、6、協(xié)議、:端口、 @ip ）

4. -p<進(jìn)程號>：列出指定進(jìn)程號所打開的文件；

5. -u：列出UID號進(jìn)程詳情；

命令：

lsof -i :22      # 看看誰在使用22端口

3. 查看多個進(jìn)程號對應(yīng)的文件信息(lsof)

命令：

lsof -p 2,3      # 使用逗號分隔

4. 查看所有tcp網(wǎng)絡(luò)連接信息(lsof)

命令：

lsof -i tcp

5. 查看所有udp網(wǎng)絡(luò)連接信息(lsof)

命令：

lsof -i udp

文件排查命令

說明：服務(wù)器被入侵后，攻擊者基本上都需要修改一些文件來維持腳本的

運行

1. 查看所有文件，包括隱藏的文件(ls)

ls?命令用來顯示目標(biāo)列表，不同類型的文件顏色也不同
常用參數(shù)：

1. -a：顯示所有文件及目錄，包括隱藏文件

2. -l：以長格式顯示目錄下的內(nèi)容列表。

3. -t：用文件和目錄的更改時間排序

命令：

ls -la

2. 查看文件路徑(whereis)

命令：

whereis filename

3. 查看文件創(chuàng)建時間(ls)

命令：

ls -al filname

4. 查找最近24小時內(nèi)修改過的文件(find)

命令：

find ./ -mtime 0 

find?命令用來在指定目錄下查找文件。

參數(shù)?-mtime n?按照文件的更改時間來找文件，n為整數(shù)。

例：

1. -mtime 0 表示文件修改時間距離當(dāng)前為0天的文件，即距離當(dāng)前時間

   不到1天（24小時）以內(nèi)的文件。

2. -mtime 1 表示文件修改時間距離當(dāng)前為1天的文件，即距離當(dāng)前時間

   1天（24小時－48小時）的文件。

3. -mtime＋1 表示文件修改時間為大于1天的文件，即距離當(dāng)前時間2天

   （48小時）之外的文件

4. -mtime -1 表示文件修改時間為小于1天的文件，即距離當(dāng)前時間1天

   （24小時）之內(nèi)的文件

5. 查找以.txt結(jié)尾的文件名(find)

命令：

find / -name "*.txt"

忽略大小寫，命令：

find / -iname "*.txt"

6. 查找不是以.txt結(jié)尾的文件(find)

命令：

find / ! -name "*.txt"

總結(jié)

參考了很多的文章，

但是這些命令實在是太多了，

看著網(wǎng)上寫的很亂，本想自己總結(jié)整理一下，

沒想到越總結(jié)越覺得亂，hhh，不知道您亂了沒。

?推薦閱讀?

31天拿下 K8s 含金量最高的CKA+CKS證書！?
NoOps 來了，DevOps 工程師的未來在何方？
我的云服務(wù)器被植入挖礦木馬，CPU飆升200%
一名運維小哥對運維規(guī)則的10個總結(jié)，收藏起來
運維工程師不得不看的經(jīng)驗教訓(xùn)和注意事項
Kubernetes上生產(chǎn)環(huán)境后，99%都會遇到這2個故障
如何用 Kubernetes 實現(xiàn) CI/CD 發(fā)布流程？| 漫畫
K8s kubectl 常用命令總結(jié)（建議收藏）
Kubernetes 的這些核心資源原理，你一定要了解
終于明白了 DevOps 與 SRE 的區(qū)別！
我在創(chuàng)業(yè)公司的 “云原生” 之旅
基于Nginx實現(xiàn)灰度發(fā)布與AB測試
編寫 Dockerfile 最佳實踐
12年資深運維老司機的成長感悟


點亮，服務(wù)器三年不宕機