linux 溯源命令集合-主机层(持续更新)
linux 溯源命令集合-主机层(持续更新)
记录一些在攻击溯源中常用到的溯源命令,持续更新:
linux主机层溯源常用命令:
scp远程上传:
scp my_local_file.zip root@192.168.1.104:/usr/local/nginx/html/webs
scp远程下载:
scp root@192.168.1.104:/usr/local/nginx/html/webs/about.zip .
查看root用户历史操作命令:
history
查看当前用户与他运行的进程信息
w
查看当前登录的用户,默认输出用户名,终端类型,登录日期和远程主机
who
用单独一行打印当前登录的用户,每个用户对应一个登录会话,如果某用户登录不止一个会话,显示相同次数
users
查看本机器每个用户最后一次成功登录记录
lastlog
查看每个用户登录,注销及系统启动,停机事件
last
查看登录失败用户,时间及远程IP地址,使用lastb进行查看
lastb
最近爆破数量
lastb|wc?-l?
查看异常端口占用情况:
netstat -antlp|more
查看下pid对应的进程文件路径($PID为对应的pid号):
ls -l /proc/$PID/exe
或
file /proc/$PID/exe
查看自启动脚本:
ubuntu自启动脚本路径(/etc/init.d):
ls -alt /etc/init.d
centOS自启动脚本路径(/etc/rc.d/init.d):
ls -alt /etc/rc.d/init.d
chkconfig
systemctl list-unit-files
查看50分钟内修改的文件:
find ./ -cmin -50 -name *.php
查看进程占用情况:
ps -ef|grep xxx
查找哪些IP存在登录失败(大概率为暴力破解的):
grep Failed pass /var/log/secure|awk {print $13}|egrep [0-8]+\.|sort |uniq -c
查找暴力破解的用户和字典(即寻找暴力破解过程中登录失败的用户名):
grep Failed pass /var/log/secure|egrep invalid|awk {print $11}|sort |uniq -c
查找登录成功的用户IP:
grep Accept /var/log/secure|awk {print $9 $11}|sort|uniq -c
定位有多少IP在爆破主机的root帐号:
grep Failed password for root /var/log/secure | awk {print $11} | sort | uniq -c | sort -nr| more
定位有哪些IP在爆破:
grep Failed password /var/log/secure|grep -E -o (25[0-5]|2[0-4][0-9]|[01][0-9][0-9])\.(25[0-5]|2[0-4][0-9]|[01][0-9][0-9])\.(25[0-5]|2[0-4][0-9]|[01][0-9][0-9])\.(25[0-5]|2[0-4][0-9]|[01][0-9][0-9])|uniq -c
爆破用户名字典是什么?
grep Failed password /var/log/secure|perl -e while($_=){ /for(.*) from/; print $1\n;}|uniq -c|sort -nr
登录成功的IP有哪些:
grep Accepted /var/log/secure | awk {print $11} | sort | uniq -c | sort -nr | more
登录成功的日期、用户名、IP:
grep Accepted /var/log/secure | awk {print $1,$2,$3,$9,$11}
查看日志中新增的用户:
grep useradd /var/log/secure
Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001
Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001,
home=/home/kali, shell=/bin/bash
Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali
删除用户kali日志:
grep userdel /var/log/secure
Jul 10 00:14:17 localhost userdel[2393]: delete user kali
Jul 10 00:14:17 localhost userdel[2393]: removed group kali owned by kali
Jul 10 00:14:17 localhost userdel[2393]: removed shadow group kali owned by kali
su切换用户:
Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)
sudo授权执行:
sudo -l
Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root;
COMMAND=/sbin/shutdown -r now
打开审计日志:
service auditd start / systemctl start auditd
持久启动审计日志:
chkconfig add auditd / systemctl enable auditd
查看两个文件不同处:
diff -c -a -r cms1 cms2
查看指定目录下文件时间的排序
ls -alt | head -n 10
使用zcat 打开压缩包,根据新生成的文件asdfasd快速定位日志位置的方法:
zcat access_2020-12-2* |grep asdfasdf
通过端口查看对应进程PID:
netstat -ano| findstr 3389
通过进程查看对应PID:
tasklist | findstr “PID”
查寻特权账户(uid为0):
awk -F: $3==0{print $1} /etc/passwd
查询可以远程登录的账号信息:
awk /\$1|\$6/{print $1} /etc/shadow
查询除了root账号外,其他账号是否存在sudo权限:
more /etc/sudoers | grep -v ^#\|^$ | grep ALL=(ALL)*
各子账号操作过的命令:路径为/home/账号名/.bash_history
vim /home/ubuntu/.bash_history
检查异常进程:
ps aux|grep $PID
检查系统开机后处于哪个级别:
运行级别含义
0 关机
1 单用户模式,可以想象为windows的安全模式,主要用于系统修复
2 不完全的命令行模式,不含NFS服务
3 完全的命令行模式,就是标准字符界面
4 系统保留
5 图形模式
6 重启动
vi /etc/inittab
linux 溯源命令集合-主机层(持续更新) 相关文章
- SQLserver数据库命令总结
数据库实验报告(SQL server) 一、数据库操作 1、数据库建立和删除:学生-课程数据库 -- 建立数据库 create database S_T; -- 删除数据库 drop database S_T; 2、表格建立、删除、修改 创建表格: create table Student( Sno varchar(9) primary key not nu
- 模块一 Go语言基础知识-命令源码文件
我们已经知道,环境变量 GOPATH 指向的是一个或多个工作区,每个工作区中都会有以代码包为基本组织形式的源码文件。 这里的源码文件又分为三种,即:命令源码文件、库源码文件和测试源码文件,它们都有着不同的用途和编写规则。 今天,我们就沿着命令源码文
- jvm性能调优工具
1、jstat命令(查看类装载,内存,垃圾收集,gc相关信息) 命令参数# jstat -option -t #option:参数选项,-t:显示系统的时间# jstat -option -h #指定输出多少行后,输出一次表头# jstat -option vmid #进程的pid# jstat -option interval #间隔时间,单位:秒# jsta
- 装逼一定要掌握这几个Linux命令
黑客,相信是每个理工男都想成为的角色。小时候电影中我们经常看到黑客们面对繁琐复杂的数据,在键盘上几个快速的操作动作让电脑立刻跳出炫酷的界面。长大后我们在B站上也有看到所谓的大佬背靠一个快速闪动各种字符的电脑界面,向你讲授如何30天从入门到精通
- Linux 工作管理
工作管理 指的是在 单个登录终端(也就是登录的 Shell 界面)同时管理多个工作 的行为。 只要将需要操作的命令放入前台,其他命令放入后台即可。 前台 是指当前可以操控和执行命令的这个操作环境; 后台 是指工作可以自行运行,但是不能直接用 Ctrl+C 快捷键
- linux源码安装redis
下载地址: http://redis.io/download,下载最新稳定版本,本教程使用的最新文档版本为 2.8.17,下载并安装。 # wget http://download.redis.io/releases/redis-6.0.8.tar.gz# tar xzf redis-6.0.8.tar.gz# cd redis-6.0.8# make 执行完make命令后,redis-6.
- linux常用命令 crontab
1,crontab是啥 ubuntu下系统级别的定时器,装好系统以后自带这个工具,并且默认是开机启动的。 sudo service cron status#查看cron服务状态 sudo service cron start/stop/restart/reload #启动,关停,重启和重新加载配置 常用命令: crontab -u xxx#设定
- 进程间通信方式(一)管道
Linux环境下, 进程地址空间相互独立 ,每个进程各自有不同的用户地址空间。任何一个进程的全局变量在另一个进程中都看不到,所以进程和进程之间不能相互访问,要交换数据必须通过 内核 ,在内核中开辟一块缓冲区,进程A把数据从用户空间拷到内核缓冲区,进
- RK3288 Linux4.4.143 适配EETI
适配电阻触摸屏 一.添加配置文件 diff --git a/device/rockchip/common/device.mk b/device/rockchip/common/device.mkindex 22fa127..38f84fa 100755--- a/device/rockchip/common/device.mk+++ b/device/rockchip/common/device.mk@@ -773,4 +773,8 @@ PRO
- Nginx服务器安装配置
环境: Linux CentOS 7 3.10.0-1062.9.1.el7.x86_64 强调:server{} 包含在http{}内部,每一个server{}都是一个虚拟主机(站点)!!! Nginx服务器安装配置 安装依赖 yum install pcre* -yyum install openssl* -y Nginx安装 Nginx下载 wget http://nginx.o