【Linux系列】应急响应 · 备忘录

时间：2024-08-18 23:37:48浏览次数：6

标签：sort grep log print 备忘录 awk Linux var 应急

这些命令和文件可以帮助你快速定位问题、查找可疑文件、监控进程等。

请注意，这些命令可能需要root权限才能执行。

查找72小时内新增的文件：

find / -ctime -2

查找24小时内被修改的JSP文件：

find ./ -mtime 0 -name "*.jsp"

根据确定时间去反推变更的文件：

ls -al /tmp | grep "Feb 27"

查找777权限的文件：

find / *.jsp -perm 4777

隐藏文件.xxx：

ls -la | grep "\.xxx"

分析sshd 文件是否包括IP信息：

strings /usr/bin/.sshd | egrep '[1-9]{1,3}.[1-9]{1,3}.'

更改：

find /etc/ /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime 0

访问：

find /tmp -iname "*" -atime 1 -type f

/usr/bin /usr/sbin

日志：

/var/log/wtmp
/var/log/lastlog
/var/log/messages
/var/log/auth.log
/var/log/cron.log
/var/log/xferlog(vsftpd.log)
/var/log/maillog
/var/log/userlog
/var/log/cron
/var/log/secure

查看爆破失败的IP：

grep 'Failed' /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr

查看登录成功的IP：

grep "Accepted " /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr

监控最后400行日志文件的变化：

tail -400f demo.log

标记该行重复的数量，不重复值为1：

uniq -c demo.log

输出文件demo.log中查找所有包行ERROR的行的数量：

grep -c 'ERROR' demo.log

查看登录成功的日期、用户名及IP：

grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'

查看试图爆破主机的IP：

grep "refused" /var/log/secure* | awk {'print $9'} | sort | uniq -c |sort -nr | more

查看爆破主机的ROOT账号的IP：

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort

查看爆破用户名字典：

grep "Failed password" /var/log/secure | awk {'print $9'} | sort | uniq -c | sort -nr

查看用户列表：

cat /etc/passwd

标签：sort,grep,log,print,备忘录,awk,Linux,var,应急
From： https://www.cnblogs.com/o-O-oO/p/18366399

【嵌入式linux开发】智能家居入门6：最新ONENET，物联网开放平台（QT、微信小程序、MQTT协议
智能家居入门6：最新ONENET物联网开放平台前言最终现象一、ONENET云平台创建产品与设备二、使用MQTT客户端软件测试2.1测试前的准备2.2测试三、LInuxQT代码四、onenet云端API介绍及微信小程序代码4.1onenetAPI介绍4.2微信小程序代码五、板端运行前言ONENET云......
Linux， shell编程备份数据库详解，带你读懂命令行指令
目录先看最终代码再解释[!-d"${BACKUP}/${DATETIME}"]解析mysqldump-u${DB_USER}-p${DB_PW}--host=${HOST}-q-R--databases${DATABASE}|gzip>${BACKUP}/${DATETIME}/$DATETIME.sql.gz解析 tar-zcvf$DATETIME.tar.gz${DATETIME}解析先看最终代码再解......
Linux系统中的进程和端口查看命令
本章将和大家分享Linux系统中的进程和端口查看命令。一、ps命令Linux中的ps命令是ProcessStatus的缩写。ps命令用来列出系统中当前运行的那些进程。ps命令列出的是当前那些进程的快照，就是执行ps命令的那个时刻的那些进程，如果想要动态的显示进程信息，就可以使用top命令。1、基本......
Linux日常运维-ENV(一)
作者介绍：简历上没有一个精通的运维工程师。希望大家多多关注作者，下面的思维导图也是预计更新的内容和当前进度(不定时更新)。本小章内容就是Linux进阶部分的日常运维部分，掌握这些日常运维技巧或者方法在我们的日常运维过程中会带来很多方便。主要从以下几个部分来讲解：Linux......
【Linux】vim查找关键字
在Linux下使用vim查找关键字命令非常简单。以下是一些常用的vim查找关键字命令：前向查找：按下“/”键，输入要查找的关键字，然后按下回车键。vim会自动定位到下一个匹配的关键字位置。向后查找：按下“?”键，输入要查找的关键字，然后按下回车键。vim会自动定位到上一个匹配的关键字位......
Linux系统-通用权限管理
目录一、文件类型二、通用权限1.文件的常规权限权限类型壹.对于文件：贰.对于目录：查看和修改权限说明：举例：字母表示法数字表示法2.文件的访问控制列表（FACL Fileaccesscontrollist）setfacl设置 getfacl查看举例说明基本组的控制访问删除文件访问控制列表......
【RH124知识点问答题】第13章访问 Linux 文件系统
目录1.存储设备是什么？怎么理解分区和格式化？2.文件系统是什么？3.挂载是什么？挂载点是什么？4.怎么理解块设备？5.在SATA附加存储中，第一磁盘上的第一个分区和第二磁盘的第二个分区分别对应哪个块设备文件？6.请比较df和du命令及-h和-H选项的作用。7.lsblk命令和......
LuckyPico 启动速度优化一 (Linux 启动速度优化 )
内核压缩方式速度优化Linux内核启动一般采用自解压的方式，在编译的时候压缩，而Linux启动时对内核固件进行自动解压。因此，在这一方面，影响内核启动速度的分为两个部分，一个是内核固件的读取时间，另一个是内核解压的时间压缩算法越复杂，则内核固件尺寸越小，内核解压时间越长压缩算法越......
Linux C網絡編程學習#1
LinuxC網絡編程學習#1網絡編程的原理兩台計算機的通信本質上是通過物理線路相連接，但通信的問題在於怎麼解讀這些電信號？這就從一個硬件的問題轉向了軟件的問題了。因此需要規定兩台計算機如何解讀相互傳輸的電信號，這種規定如何解讀另一台計算機的電信號（或報文）的程序就叫協議。......
Linux三剑客之awk
Linux三剑客区别grep：普通搜索，更适合单纯的查找或匹配文本sed：每次读入一行来处理的，sed适合简单的文本替换和搜索，sed读取一行，以行作为单位，进行处理。awk：每次读入一行来处理的（同sed），但awk读取一行，切割成字段，以字段为单位，进行细节处理。awk工作原理根据处理的模式，一次从文件中......

【Linux系列】应急响应 · 备忘录

相关文章

赞助商

阅读排行