linux 溯源命令集合-主机层(持续更新)

作者:神秘网友 发布时间:2021-01-25 19:06:34

linux 溯源命令集合-主机层(持续更新)

记录一些在攻击溯源中常用到的溯源命令,持续更新:

linux主机层溯源常用命令:

scp远程上传:
scp my_local_file.zip root@192.168.1.104:/usr/local/nginx/html/webs

scp远程下载:
scp root@192.168.1.104:/usr/local/nginx/html/webs/about.zip .

查看root用户历史操作命令:
history

查看当前用户与他运行的进程信息
w

查看当前登录的用户,默认输出用户名,终端类型,登录日期和远程主机
who

用单独一行打印当前登录的用户,每个用户对应一个登录会话,如果某用户登录不止一个会话,显示相同次数
users

查看本机器每个用户最后一次成功登录记录
lastlog

查看每个用户登录,注销及系统启动,停机事件
last

查看登录失败用户,时间及远程IP地址,使用lastb进行查看
lastb

最近爆破数量
lastb|wc?-l?

查看异常端口占用情况:
netstat -antlp|more

查看下pid对应的进程文件路径($PID为对应的pid号):
ls -l /proc/$PID/exe
或
file /proc/$PID/exe

查看自启动脚本:
ubuntu自启动脚本路径(/etc/init.d):
ls -alt /etc/init.d   
centOS自启动脚本路径(/etc/rc.d/init.d):
ls -alt /etc/rc.d/init.d
chkconfig
systemctl list-unit-files

查看50分钟内修改的文件:
find ./ -cmin -50 -name *.php  

查看进程占用情况:
ps -ef|grep xxx

查找哪些IP存在登录失败(大概率为暴力破解的):
grep Failed pass /var/log/secure|awk {print $13}|egrep [0-8]+\.|sort |uniq -c

查找暴力破解的用户和字典(即寻找暴力破解过程中登录失败的用户名):
grep Failed pass /var/log/secure|egrep invalid|awk {print $11}|sort |uniq -c

查找登录成功的用户IP:
grep Accept /var/log/secure|awk {print $9 $11}|sort|uniq -c

定位有多少IP在爆破主机的root帐号:
grep Failed password for root /var/log/secure | awk {print $11} | sort | uniq -c | sort -nr| more

定位有哪些IP在爆破:
grep Failed password /var/log/secure|grep -E -o (25[0-5]|2[0-4][0-9]|[01][0-9][0-9])\.(25[0-5]|2[0-4][0-9]|[01][0-9][0-9])\.(25[0-5]|2[0-4][0-9]|[01][0-9][0-9])\.(25[0-5]|2[0-4][0-9]|[01][0-9][0-9])|uniq -c

爆破用户名字典是什么?
grep Failed password /var/log/secure|perl -e while($_=){ /for(.*) from/; print  $1\n;}|uniq -c|sort -nr

登录成功的IP有哪些:
grep Accepted  /var/log/secure | awk {print $11} | sort | uniq -c | sort -nr | more

登录成功的日期、用户名、IP:
grep Accepted  /var/log/secure | awk {print $1,$2,$3,$9,$11}

查看日志中新增的用户:
grep useradd /var/log/secure
Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001
Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001,
home=/home/kali, shell=/bin/bash
Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali

删除用户kali日志:
grep userdel /var/log/secure
Jul 10 00:14:17 localhost userdel[2393]: delete user kali
Jul 10 00:14:17 localhost userdel[2393]: removed group kali owned by kali
Jul 10 00:14:17 localhost userdel[2393]: removed shadow group kali owned by kali

su切换用户:
Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)

sudo授权执行:
sudo -l
Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root;
COMMAND=/sbin/shutdown -r now

打开审计日志:
service auditd start / systemctl start auditd

持久启动审计日志:
chkconfig add auditd / systemctl enable auditd

查看两个文件不同处:
diff -c -a -r cms1 cms2

查看指定目录下文件时间的排序
ls -alt | head -n 10

使用zcat 打开压缩包,根据新生成的文件asdfasd快速定位日志位置的方法:
zcat access_2020-12-2* |grep asdfasdf

通过端口查看对应进程PID:
netstat -ano| findstr 3389

通过进程查看对应PID:
tasklist | findstr “PID”

查寻特权账户(uid为0):
awk -F: $3==0{print $1} /etc/passwd

查询可以远程登录的账号信息:
awk /\$1|\$6/{print $1} /etc/shadow

查询除了root账号外,其他账号是否存在sudo权限:
more /etc/sudoers | grep -v ^#\|^$ | grep ALL=(ALL)*

各子账号操作过的命令:路径为/home/账号名/.bash_history
vim /home/ubuntu/.bash_history

检查异常进程:
ps aux|grep $PID
检查系统开机后处于哪个级别:
运行级别含义
0 关机
1 单用户模式,可以想象为windows的安全模式,主要用于系统修复
2 不完全的命令行模式,不含NFS服务
3 完全的命令行模式,就是标准字符界面
4 系统保留
5 图形模式
6 重启动
vi /etc/inittab

linux 溯源命令集合-主机层(持续更新) 相关文章

  1. SQLserver数据库命令总结

    数据库实验报告(SQL server) 一、数据库操作 1、数据库建立和删除:学生-课程数据库 -- 建立数据库 create database S_T; -- 删除数据库 drop database S_T; 2、表格建立、删除、修改 创建表格: create table Student( Sno varchar(9) primary key not nu

  2. 模块一 Go语言基础知识-命令源码文件

    我们已经知道,环境变量 GOPATH 指向的是一个或多个工作区,每个工作区中都会有以代码包为基本组织形式的源码文件。 这里的源码文件又分为三种,即:命令源码文件、库源码文件和测试源码文件,它们都有着不同的用途和编写规则。 今天,我们就沿着命令源码文

  3. jvm性能调优工具

    1、jstat命令(查看类装载,内存,垃圾收集,gc相关信息) 命令参数# jstat -option -t #option:参数选项,-t:显示系统的时间# jstat -option -h #指定输出多少行后,输出一次表头# jstat -option vmid #进程的pid# jstat -option interval #间隔时间,单位:秒# jsta

  4. 装逼一定要掌握这几个Linux命令

    黑客,相信是每个理工男都想成为的角色。小时候电影中我们经常看到黑客们面对繁琐复杂的数据,在键盘上几个快速的操作动作让电脑立刻跳出炫酷的界面。长大后我们在B站上也有看到所谓的大佬背靠一个快速闪动各种字符的电脑界面,向你讲授如何30天从入门到精通

  5. Linux 工作管理

    工作管理 指的是在 单个登录终端(也就是登录的 Shell 界面)同时管理多个工作 的行为。 只要将需要操作的命令放入前台,其他命令放入后台即可。 前台 是指当前可以操控和执行命令的这个操作环境; 后台 是指工作可以自行运行,但是不能直接用 Ctrl+C 快捷键

  6. linux源码安装redis

    下载地址: http://redis.io/download,下载最新稳定版本,本教程使用的最新文档版本为 2.8.17,下载并安装。 # wget http://download.redis.io/releases/redis-6.0.8.tar.gz# tar xzf redis-6.0.8.tar.gz# cd redis-6.0.8# make 执行完make命令后,redis-6.

  7. linux常用命令 crontab

    1,crontab是啥 ubuntu下系统级别的定时器,装好系统以后自带这个工具,并且默认是开机启动的。 sudo service cron status#查看cron服务状态 sudo service cron start/stop/restart/reload #启动,关停,重启和重新加载配置 常用命令: crontab -u xxx#设定

  8. 进程间通信方式(一)管道

    Linux环境下, 进程地址空间相互独立 ,每个进程各自有不同的用户地址空间。任何一个进程的全局变量在另一个进程中都看不到,所以进程和进程之间不能相互访问,要交换数据必须通过 内核 ,在内核中开辟一块缓冲区,进程A把数据从用户空间拷到内核缓冲区,进

  9. RK3288 Linux4.4.143 适配EETI

    适配电阻触摸屏 一.添加配置文件 diff --git a/device/rockchip/common/device.mk b/device/rockchip/common/device.mkindex 22fa127..38f84fa 100755--- a/device/rockchip/common/device.mk+++ b/device/rockchip/common/device.mk@@ -773,4 +773,8 @@ PRO

  10. Nginx服务器安装配置

    环境: Linux CentOS 7 3.10.0-1062.9.1.el7.x86_64 强调:server{} 包含在http{}内部,每一个server{}都是一个虚拟主机(站点)!!! Nginx服务器安装配置 安装依赖 yum install pcre* -yyum install openssl* -y Nginx安装 Nginx下载 wget http://nginx.o

每天更新java,php,javaScript,go,python,nodejs,vue,android,mysql等相关技术教程,教程由网友分享而来,欢迎大家分享IT技术教程到本站,帮助自己同时也帮助他人!

Copyright 2020, All Rights Reserved. Powered by 跳墙网(www.tqwba.com)|网站地图|关键词