Linux应急-常用命令

首先查看当前主机最近的用户登录情况，如何黑客成功登录，那么可以查到成功登录的记录

[root@localhost defend]# grep “Accepted “ /var/log/secure* | awk ‘{print $1,$2,$3,$9,$11}’
Mar 18 20:23:07 root 192.168.75.129
Mar 20 14:28:21 defend 192.168.1.104

mysql 3306
find / -name config.inc.php（数据库常用配置文件名）

redis 6379
cat /var/log/redis/redis.log | grep Acc

192.168.75.129

查看用户
cat /etc/passwd

账户排查
排查是否有黑客进来或者创建了用户，同事在这里也可以排查一下是否有黑客暴力破解ssh。

w #查看当前登录进来的用户操作

cat /etc/passwd #查看是否有可疑账号

cat /etc/shadow #查看影子文件是否有问题

过滤特权用户
查看是否有其他可疑的特权用户
awk -F: ‘$3==0{print $1}’ /etc/passwd

过滤远程登录用户
查看是否有其他可疑远程登录用户
awk ‘/$1|$6/{print $1}’ /etc/shadow

查看可疑进程
ps -aux

查看可以命令
history

/home/www/wwwroot
127.0.0.1/.api
/etc/profile
go_build_untited.exe

那么黑客是怎么打进来的？
此时，想到了刚才查看passwd文件时，最后一个用户是redis用户，说明该机器上存在redis服务，于是查看网络连接，看看6379端口是否开放。

netstat -anltup

没有发现6379端口，那么先运行该服务

redis-server

redis运行起来之后，需要进行登录，但是不知道密码，那就先尝试一下redis未授权

查看redis安装位置
先查看redis进程号, 查看命令: ps -ef | grep redis
ll -l /proc/4687/cwd

看看有哪些文件被修改过
rpm -Vf /usr/bin/*