一、系统排查分析
1.用户信息的排查
#查看用户和密码
cat /etc/shadow
cat /etc/passwd
#查看组信息
cat /etc/group
#查看历史命令
history
#查看最近登录成功的用户及信息
last
#查看主机所有用户最近一次登录信息
lastlog
#查看当前用户信息
id
#查看当前登录系统的所有用户
who
#显示已经登陆系统的用户列表,并显示用户正在执行的指令
w
#显示当前登录系统的所有用户的用户列表
users
#禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头
usermod -L user
#删除user用户,并且将/home目录下的user目录一并删除
userdel -r user
#查看可以远程登录的用户
awk '/\$1|\$6/{print $1}' /etc/shadow
#查看拥有sudo权限的用户
more /etc/sudoers | egrep -v "^#|^$" | grep "ALL=(ALL)"
#查看超级用户(uid=0)
awk -F: '$3==0{print $1}' /etc/passwd2.进程和端口的排查
#查看端口连接情况
ss --tlunp
netstat --tlunp
#查看进程 如ssh
ps -ef | grep ssh
ps aux | grep ssh
top
#查看进程树
pstree
#查看进程 根据cpu使用情况排序
ps aux --sort -pcpu
#查看进程 根据mem使用情况排序
ps aux --sort -pmem
#正在运行进程的pid
pidof ssh
#查看进程打开的文件 使用pid
lsof -p pid
#查看进程打开的文件 使用进程 如sshd
lsof -c sshd
#查看端口对应的进程
lsof -i:port
#查看端口对应的进程PID
fuser -n tcp port
#强制杀死进 使用pid
kill -9 pid
#强制杀死进程 如script
pkill script3.日志文件的排查 系统日志/var/log
#记录了错误的登录尝试信息 登录次数和持续时间等信息
/var/log/wtmp
/var/log/utmp
#记录身份验证和授权权限相关的信息 认证失败
/var/log/secure
/var/log/audit/audit.log
#记录系统中所有用户最后一次登录时间的信息
/var/log/lastlog
#记录了整体系统信息
/var/log/messages
#记录了系统定时任务相关的信息
/var/log/cron
#记录打印信息
/var/log/cups
#记录系统在开机时内核自检的信息
/var/log/dmesg
#记录邮件信息
/var/log/mailog
#登录失败或成功的记录
cat /var/log/secure* | egrep -i "accept|fail"二、业务排查分析
1.web日志排查
#如果你使用的是Nginx
/var/log/nginx/access.log
#如果你使用的是Apache
/var/log/apache2/access.log
/var/log/httpd/access_log
#查找是否使用扫描工具
egrep "sqlmap|acun" /var/log/nginx/access.log
#大量404或502端口信息
egrep "404|502" /var/log/nginx/access.log2.查找异常文件 webshell
#查找过去24小时内访问的文件
find / -atime -1
#查找过去24小时内创建的文件
find / -ctime -1
#查找过去24小时内修改的PHP文件 JSP文件
find / -mtime -1 -name ".php"
find / -mtime -1 -name ".jsp"三、使用工具排查
1.webshell查杀
标签:log,查看,etc,主机,用户,排查,linux,var,登录 From: https://blog.51cto.com/alibaby/12120683