linux系統應急響應排查手冊
系統登陸日誌
/var/log/wtmp //登陸成功的信息,包括用戶登錄、註銷及系統的啓動、停機的事件
/var/log/btmp //登陸失敗的信息
/var/run/utmp //正在登陸的信息
/var/log/secure //系統認證信息日誌,包括用戶登陸成功、登陸失敗日誌
wtmp
last -f /var/log/wtmp
last
//登陸成功的信息,記錄信息包括登陸用戶、登陸IP、時間
- 1 表示登陸用戶
- 2 其中pts/0、pts/1表示虛擬終端terminal,tty2表示新打開的終端teletype,:0表示本地
- 3 記錄登陸IP地址,:0表示本地登陸,3.10.0-862.el7.x也表示本地
- 4 5 記錄登陸開始時間到登陸結束時間
btmp
last -f /var/log/btmp
lastb
//記錄登陸失敗的信息,記錄信息包括失敗用戶、嘗試登陸IP、嘗試登陸時間
- 1 登陸用戶
- 2 表示登陸失敗,ssh:notty表示no terminal
- 3 表示登陸IP
- 4 表示嘗試登陸時間
utmp
- 1 表示登陸用戶
- 2 表示登陸虛擬終端
- 3 表示登陸IP
- 4 表示登陸時間
secure
cat /var/log/secure
//系統認證信息日誌,包括用戶登陸成功、登陸失敗日誌
- Accepted 表示用戶密碼登陸成功
- Failed 表示用戶密碼登陸失敗
lastlog
系統用戶排查
排查高權限用戶
awk -F: '{if($3==0)print $1}' /etc/passwd
排查可登陸用戶
cat /etc/passwd | grep /bin/bash
查看空口令用戶
awk -F: '{if($2==0)print $1}' /etc/shadow
啓動項排查
ls -al /etc/rc.d
ls -al /etc/init.d/
cat /etc/rc.local
cat /etc/init.d/rc.local
/etc/rc.d
/etc/init.d
/etc/rc.local
/etc/init.d/rc.local
任務計劃
crontab -l
ls -al /var/spool/cron/
ls /etc/cron*
crontab -l
crontab -l
ls -al /var/spool/cron/
cat /var/spool/cron/root
/etc/cron*
進程排查
ps -aux //靜態顯示進程狀態
top //動態顯示進程狀態
ps -aux
ps -aux //顯示所有包含使用者的進程
ps -aux --sort==%cpu | head -10 //按照CPU大小排序
- USER: 進程擁有者
- PID: pid
- %CPU: 佔用的 CPU 使用率
- %MEM: 佔用的記憶體使用率
- VSZ: 佔用的虛擬記憶體大小
- RSS: 佔用的記憶體大小
- TTY: 終端的次要裝置號碼 (minor device number of tty)
- STAT: 該行程的狀態:
- D: 無法中斷的休眠狀態 (通常 IO 的進程)
- R: 正在執行中
- S: 靜止狀態
- T: 暫停執行
- Z: 不存在但暫時無法消除
- W: 沒有足夠的記憶體分頁可分配
- <: 高優先序的行程
- N: 低優先序的行程
- L: 有記憶體分頁分配並鎖在記憶體內 (實時系統或捱A I/O)
- START: 行程開始時間
- TIME: 執行的時間
- COMMAND:所執行的指令
top
網絡狀態排查
netstat -antpl
PID排查
losf