Linux 应急响应命令总结，收藏版

系统排查

系统基本信息

CPU 信息

CPU 信息：lscpu

操作系统信息

操作系统信息：uname -a

操作系统信息：cat /proc/version

模块信息

模块信息：lsmod

账户信息

系统所有账户

系统所有账户：cat /etc/passwd

超级权限账户

超级权限账户：awk -F: '{if($3==0)print $1}' /etc/passwd

可登录账户

可登录账户：cat /etc/passwd | grep '/bin/bash'

最近20条登录失败信息

最近20条登录失败信息：lastb | head -n 20

所有账号最后登录信息

所有账号最后登录信息：lastlog

最近20条登录信息

最近20条登录信息：last | head -n 20

当前登录账号信息

当前登录账号信息：who

空口令账号

空口令账号：awk -F: '{if($2==0)print $1}' /etc/shadow

启动项

启动项：ls -lat /etc/init.d/

启动项：cat /etc/init.d/rc.local

启动项：cat /etc/rc.local

计划任务

当前计划任务

当前计划任务：crontab -l

Linux Crontab 计划任务

/var/spool/cron/ 目录下存放的是每个用户包括root的crontab任务，每个任务以创建者的名字命名

/etc/crontab 这个文件负责调度各种管理和维护任务。

/etc/cron.d/ 这个目录用来存放任何要执行的crontab文件或脚本。

我们还可以把脚本放在/etc/cron.hourly、/etc/cron.daily、/etc/cron.weekly、/etc/cron.monthly目录中，让它每小时/天/星期、月执行一次。

crontab [-u username]　　　　//省略用户表表示操作当前用户的crontab

-e (编辑工作表)

-l (列出工作表里的命令)

-r (删除工作作)

我们用crontab -e进入当前用户的工作表编辑，是常见的vim界面。每行是一条命令。

crontab的命令构成为 时间+动作，其时间有分、时、日、月、周五种，操作符有

* 取值范围内的所有数字

/ 每过多少个数字

- 从X到Z

，散列数字

实例1：每1分钟执行一次myCommand

* * * * * myCommand

实例2：每小时的第3和第15分钟执行

3,15 * * * * myCommand

实例3：在上午8点到11点的第3和第15分钟执行

3,15 8-11 * * * myCommand

实例4：每隔两天的上午8点到11点的第3和第15分钟执行

3,15 8-11 */2 * * myCommand

实例5：每周一上午8点到11点的第3和第15分钟执行

3,15 8-11 * * 1 myCommand

实例6：每晚的21:30重启smb

30 21 * * * /etc/init.d/smb restart

实例7：每月1、10、22日的4 : 45重启smb

45 4 1,10,22 * * /etc/init.d/smb restart

实例8：每周六、周日的1 : 10重启smb

10 1 * * 6,0 /etc/init.d/smb restart

实例9：每天18 : 00至23 : 00之间每隔30分钟重启smb

0,30 18-23 * * * /etc/init.d/smb restart

实例10：每星期六的晚上11 : 00 pm重启smb

0 23 * * 6 /etc/init.d/smb restart

实例11：每一小时重启smb

0 */1 * * * /etc/init.d/smb restart

实例12：晚上11点到早上7点之间，每隔一小时重启smb

0 23-7/1 * * * /etc/init.d/smb restart

创建、编辑计划任务的命令为crontab -e

查看当前计划任务的命令为crontab -l

删除某条计划任务的命令为crontab -r

另外，如果您是以管理员的身份登录的系统，还可以在crontab命令中加上-u参数来编辑他人的计划任务。

crontab命令的参数及其作用

参数 作用

-e 编辑计划任务

-u 指定用户名称

-l 列出任务列表

-r 删除计划任务

分、时、日、月、星期 命令

如果有些字段没有被设置，则需要使用星号（*）占位

使用crond设置任务的参数字段说明

字段 说明

分钟 取值为0～59的整数

小时 取值为0～23的任意整数

日期 取值为1～31的任意整数

月份 取值为1～12的任意整数

星期 取值为0～7的任意整数，其中0与7均为星期日

命令 要执行的命令或程序脚本

在crond服务的配置参数中，一般会像Shell脚本那样以#号开头写上注释信息，这样在日后回顾这段命令代码时可以快速了解其功能、需求以及编写人员等重要信息。

计划任务中的“分”字段必须有数值，绝对不能为空或是*号，而“日”和“星期”字段不能同时使用，否则就会发生冲突。

cron是Linux中默认的计划任务。使用cron，你可以安排一个计划（比如：命令或者shell脚本）周期性地运行或者在指定的分钟、小时、天、周、月等特定时间运行。cron在你安排不同的常规维护任务时是很有用的，比如周期性地备份、日志循环、检查文件系统、监测磁盘空间等等

每个cron任务的格式如下。

查看计划任务文件

查看计划任务文件：ls -lat /etc/cron*

/etc/crontab

/etc/cron.d/*

/etc/cron.daily/*

/etc/cron.hourly/*

/etc/cron.monthly/*

/etc/cron.weekly/*

/etc/anacrontab

进程排查

网络连接

网络连接：netstat -antlp

查找对应运行程序

查找对应运行程序：ls -lat /proc/20583

查看程序打开文件

查看程序打开文件：lsof -p 20583

结束进程

结束进程：kill -9 20583

Linux kill命令

Linux kill 命令用于删除执行中的程序或工作。

linux 的 kill 命令是向进程发送信号，kill 不是杀死的意思，-9 表示无条件退出，但由进程自行决定是否退出，这就是为什么 kill -9 终止不了系统进程和守护进程的原因。

Linux pkill 命令

Linux pkill 用于杀死一个进程，与 kill 不同的是它会杀死指定名字的所有进程，类似于 killall 命令。

kill 命令杀死指定进程 PID，需要配合 ps 使用，而 pkill 直接对进程对名字进行操作，更加方便。

pkill -9 php-fpm //结束所有的 php-fpm 进程

Linux killall 命令

Linux killall 用于杀死一个进程，与 kill 不同的是它会杀死指定名字的所有进程。

kill 命令杀死指定进程 PID，需要配合 ps 使用，而 killall 直接对进程对名字进行操作，更加方便。

killall -9 php-fpm //结束所有的 php-fpm 进程

查看文件属性

查看文件属性：lsattr filename

移除 i 属性

移除 i 属性：chattr -i filename

查看隐藏进程

ps -ef | awk '{print}' | sort -n | uniq > 1

ls /proc | sort -n | uniq > 2

diff 1 2

查看资源占用率较高的进程

查看资源占用率较高的进程：top

服务排查

系统运行服务

系统运行服务：chkconfig –list

Centos7 查看自启动列表systemctl list-unit-files以及设置服务自启动

系统运行服务：systemctl list-unit-files

所有服务状态

所有服务状态：service --status-all

所有服务状态：

显示所有的服务状态—空格翻页 q推出

systemctl list-units --type service –all

查看启动成功的服务列表

systemctl list-unit-files | grep enabled

查看启动失败的服务列表

systemctl --failed

查看所有服务的状态—空格翻页 q推出

systemctl list-unit-files --type service

文件痕迹排查

敏感目录

/tmp

/usr/bin/

/usr/sbin/

~/.ssh/

/etc/ssh/

时间点查找

find：在指定目录下查找文件

-type b/d/c/p/l/f：查找块设备、目录、字符设备、管道、符号链接、普通文件

-mtime -n +n：按文件更改时间来查找文件，-n 指 n 天以内，+n 指 n 天前。

-atime -n +n：按文件访问时间来查找文件，-n 指 n 天以内，+n 指 n 天前。

-ctime -n +n：按文件创建时间来查找文件，-n 指 n 天以内，+n 指 n 天前。

查找一天内新增的 sh 文件

查找一天内新增的 sh 文件：find / -ctime 0 -name "*.sh"

查看排序后前10行的内容

查看排序后前10行的内容：ls -lat | head -n 10

排查文件创建、修改、访问时间

排查文件创建、修改、访问时间：stat /etc/passwd

特殊文件

特殊权限文件

特殊权限文件：find /tmp -perm 777

WebShell

WebShell：find /var/www/ -name "*.php"

系统命令检测

系统命令检测：ls -lat /bin/ /sbin/

系统命令检测：ls -lah /bin/ /sbin/

后门检测

后门检测：chkrootkit -q | grep INFECTED

SUID 程序排查

SUID 程序排查：find / -type f -perm -04000 -ls -uid 0 2>/dev/null

日志分析

日志概述

/var/log/

/var/log/wtmp 登录进入、退出、数据交换、关机和重启，即last

/var/log/cron 计划任务有关的日志信息

/var/log/messages 系统启动后的信息和错误日志

/var/log/apache2/access.log Apache 访问日志

/var/log/auth.log 系统授权信息，包括账号登录和使用的权限机制

/var/log/userlog 所有等级账号信息日志

/var/log/vftpd.log FTP 日志

/var/log/lastlog 登录的账号，也可以使用命令 lastlog 查看

/var/log/secure 大多数应用输入的账号和密码，以及登录成功与否

/var/log/faillog 登录系统失败的账号信息

日志分析

grep

sed

sort

awk

应 急 响 应 溯 源 反 制 记 录 单
应用系统名称
主管单位
主要负责人
运维单位
直接负责人
应用系统url
所属网络
外网IP
内网IP
攻击IP
攻击时间
发现时间
阻断时间
应用系统漏洞存在位置
事件类型
后门位置
处置措施
青藤扫描结果
涉及主机情况