Linux常用应急排查命令(持续更新)

1、history

(1)使用history查看历史命令,分析攻击者使用过何命令

history

Linux常用应急排查命令(持续更新)_第1张图片

(2)但攻击者也能回使用history -c 清除掉历史命令

history -c

(3)使用cat查看cat /root/.bash_history 文件也可以查看到历史使用命令

cat /root/.bash_history

Linux常用应急排查命令(持续更新)_第2张图片

2、查看passwd账户信息

(1)使用cat 命令查看/etc/passwd文件

cat /etc/passwd

Linux常用应急排查命令(持续更新)_第3张图片
(2)passwd文件是存储了linux系统上的所有用户信息,以root用户信息为例讲解
在这里插入图片描述
root是用户名
X是密码位,真正的密码存储在shadow文件中
第一个零是用户的ID,0表示超级用户 1是表示普通用户
第二个是组ID,0超级用户组,1表示普通用户组
注释
/root是用户的主目录
/bin/bash是允许shell登录
/sbin/nologin 不允许登录

(3)使用awk命令快速检查是否存在root用户以外的超级用户

awk -F: '{if($3==0)print $1}' /etc/passwd 

$3是对应/etc/passwd文件里的第三列的用户ID是否等于0,如果等于0就输出第一列的内容,第一列也就是用户名,可快速检索是否有其他用户是id=0的。

你可能感兴趣的:(云计算,linux,笔记,linux,服务器,运维,网络安全)