奇安信应急响应-Linux

Linux需要经常关注的目录

/etc/passwd用户信息文件：我们需要看一下里面到底是什么，保存的用户信息

/etc/rc.d/rc.loacl：开机启动项：类似于Windows的开机启动项，有可能攻击者会在里面写一个后门文件，需要重点查看

/root/.ssh：存放root用户ssh公钥和=私钥的地方，有可能攻击者攻击完生成一对公私钥加进去，他拿私钥就可以直接登陆，

/tmp：系统或者用户临时文件的目录，一些传统的黑产黑客组织会利用批量化的脚本，不同的操作系统要做到兼容适配，就会去找公共目录，就是别的版本也有的目录，下载就很方便，就不需要去考虑目录的问题，一些自动化的东西她都会存在在公共目录里面。

/etc/hosts：本地ip地址，域名解析文件，攻击者拿到本地权限之后，想去阻拦一些杀毒软件，外联的杀毒引擎，都在这个目录下面把域名解析到本地，杀毒软件引擎就更新不了，

/etc/init.d/：开机启动项，和上面的比较相似，但是下面有local这个目录，有不同的用户启动级别，我们只需要观察当前用户启动模式是哪一个，然后那个模式下启动文件，通用性配置文件，也要关注一下有没有恶意的启动脚本，

#常用命令

查询当前目录下面的所有文件并且排序  ls  -alt

一些攻击者可能会创造一个隐藏的攻击文件夹，配置攻击文件信息，所以加上-alt，

查询系统内存使用情况  free -h Linux里面挖矿也是很多的，我们要去查一下进程占用率和内存使用率，上面这种可能是文件的限制。

查看系统及子进程：ps auxf 

top   两个命令

auxf是我可以展示她的子进程，可以看到ssh用户下面的子进程是哪个，都在干嘛，现在用户的pid是多少，1178pid下面都有那些子进程，可以看到主进程下面调用了那些子进程，子进程的pid是多少。

top命令也可以看到子进程，但是看不到关联性，比如那个进程下面那个子进程，看不到，但是可以看到cpu占用率，两个命令相互结合来看。如果说中了挖矿看cpu占用率基本上可以确定挖矿进程，