Appearance
安全加固
通用
- 网络查询
netstat -antuplsof -ips -ef
- 进程查询
lsof -p pid查看进程使用的文件/etc/init.d && /etc/rc.d/init.d查看进程启动chkconfig查看自启动进程systemctl list-unit-files --type=service | grep enable查看自启任务/var/spool/cron/* && /var/spool/cron/crontabs/* && /etc/crontab && /etc/cron.d/*定时任务
- 日志分析
cat access.log | awk -F" " '{print $1}' | sort | uniq -c查看有多少IP和访问量cat /etc/passwd | cut -f 1 -d : |xargs -i crontab -l -u {}查看所有用户的定时启动任务
- 排查命令
w查看登陆的用户last查看登陆记录history查看历史命令记录
- 文件排查
/etc/passwd用户信息/etc/shadow密码文件/etc/sudoersudo信息/var/log/securessh登陆信息/var/log/*日志.ssh/authorized_keys免登录公钥.ssh/known_hosts登录过得机器file && stat查看文件类型和时间find <path> -type f -newermt "2023-01-01 00:00:00" -a -not -newermt "2023-01-01 00:00:00"查看一段时间内的文件compgen -b | grep -V -E "\.|\:" | while read line;do ls /usr/local/bin/$line 2>null;done查找指定文件夹下与系统命令同名的文件which && whereis查找文件位置
可疑文件
可疑用户
bash
1、查询特权用户特权用户(uid 为0)
awk -F: '$3==0{print $1}' /etc/passwd
2、查询可以远程登录的帐号信息
awk '/\$1|\$6/{print $1}' /etc/shadow
3、除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限
more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
4、禁用或删除多余及可疑的帐号
usermod -L user #禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头
userdel -r user #将删除user用户,并且将/home目录下的user目录一并删除- 查看用户 cat /etc/passwd
恶意代码
备份目录,或者通过scp方式。存储到本地,使用d盾或者是杀毒软件查杀