一、系统排查阶段
- 查看window用户信息
一般用net user命令, 但是这个命令查看不出来隐藏的用户, 查看隐藏用户可以在计算机管理-本地用户和组里面进行查看 也可以用注册表命令 注册表-HKEY_LOCAL_MACHINE-SAM-SAM-Domains-Account-Users-Names 查看
查看Linux用户信息查看所有的用户信息,在etc/passwd下面
用户名:x(代表密码加密):用户ID:用户组:注释:用户主目录:默认登录shell
bin/bash 可登录 sbin/nologin 不可登录
查看超级权限账户:awk-F: '{if($3==0)print $1}'/etc/passwd - 查看Linux错误用户登录信息
一般用lastab命令,可以查看错误用户的登录信息 lastb命令 用于显示用户错误的登录列表,此指令可以发现系统的登录异常
- 查看所有用户最后一次登录信息
查看所有用户最后一次登录信息:lastlog
- 查看一些重要的登录信息
/var/log/wtmp wtmp存储登录成功的信息 /var/log/btmp btmp存储登录失败的信息 /var/log/utmp)utmp存储当前正在登录的信息
二、启动项排查
- windows系统
windows系统可直接在任务管理器里面查看启动项
- Linux系统
rc.local 启动加载文件 Linux中有两个,分别在etc/re.local和etc/init.d/rc.local,修改这两个文件可修改启动项
三、任务计划
- windows
在计算机管理里面-任务计划程序-任务计划程序库里面可以查看windows的计划任务
也可用powershell > Get-ScheduledTask
或者cmd命令cmd > schtasks ----这个查看的比较清楚 - Linux
Linux的定时任务放在 /var/log/cron下面 可以用crontab -l命令进行查看
四、进程排查
- windows
window一般用cmd命令的 tasklist 列出来 也可以用 tasklist /svc 列出进程和相对应的程序
tasklist /m 加载dll进程
查看正在连接的网络进程:
cmd > netstat-ano | findstr 'ESTABLISHED' - Linux
Linux可以用命令 netstat -ap 命令来显示所有进程的详细信息 特定pid对应的执行程序:ls -alt /proc/PID 查看进程打开的文件 lsof -p PID
N、其他
window防火墙规则
查看一下控制面板里面的window防火墙的入站规则和出站规则等 也可以使用cmd命令 : netsh FireWall show state
标签:cmd,登录,查看,命令,知识,用户,响应,Linux,应急 From: https://www.cnblogs.com/sdgfsdgfsd/p/17068741.html