linux系统应急响应排查手册
系统登陆日志
/var/log/wtmp //登陆成功的信息,包括用户登录、注销及系统的启动、停机的事件
/var/log/btmp //登陆失败的信息
/var/run/utmp //正在登陆的信息
/var/log/secure //系统认证信息日志,包括用户登陆成功、登陆失败日志
wtmp
last -f /var/log/wtmp
last
//登陆成功的信息,记录信息包括登陆用户、登陆IP、时间
- 1 表示登陆用户
- 2 其中pts/0、pts/1表示虚拟终端terminal,tty2表示新打开的终端teletype,:0表示本地
- 3 记录登陆IP地址,:0表示本地登陆,3.10.0-862.el7.x也表示本地
- 4 5 记录登陆开始时间到登陆结束时间
btmp
last -f /var/log/btmp
lastb
//记录登陆失败的信息,记录信息包括失败用户、尝试登陆IP、尝试登陆时间
- 1 登陆用户
- 2 表示登陆失败,ssh:notty表示no terminal
- 3 表示登陆IP
- 4 表示尝试登陆时间
utmp
- 1 表示登陆用户
- 2 表示登陆虚拟终端
- 3 表示登陆IP
- 4 表示登陆时间
secure
cat /var/log/secure
//系统认证信息日志,包括用户登陆成功、登陆失败日志
- Accepted 表示用户密码登陆成功
- Failed 表示用户密码登陆失败
lastlog
系统用户排查
排查高权限用户
awk -F: '{if($3==0)print $1}' /etc/passwd
排查可登陆用户
cat /etc/passwd | grep /bin/bash
查看空口令用户
awk -F: '{if($2==0)print $1}' /etc/shadow
启动项排查
ls -al /etc/rc.d
ls -al /etc/init.d/
cat /etc/rc.local
cat /etc/init.d/rc.local
/etc/rc.d
/etc/init.d
/etc/rc.local
/etc/init.d/rc.local
任务计划
crontab -l
ls -al /var/spool/cron/
ls /etc/cron*
crontab -l
crontab -l
ls -al /var/spool/cron/
cat /var/spool/cron/root
/etc/cron*
进程排查
ps -aux //静态显示进程状态
top //动态显示进程状态
ps -aux
ps -aux //显示所有包含使用者的进程
ps -aux --sort==%cpu | head -10 //按照CPU大小排序
- USER: 进程拥有者
- PID: pid
- %CPU: 占用的 CPU 使用率
- %MEM: 占用的记忆体使用率
- VSZ: 占用的虚拟记忆体大小
- RSS: 占用的记忆体大小
- TTY: 终端的次要装置号码 (minor device number of tty)
- STAT: 该行程的状态:
- D: 无法中断的休眠状态 (通常 IO 的进程)
- R: 正在执行中
- S: 静止状态
- T: 暂停执行
- Z: 不存在但暂时无法消除
- W: 没有足够的记忆体分页可分配
- <: 高优先序的行程
- N: 低优先序的行程
- L: 有记忆体分页分配并锁在记忆体内 (实时系统或捱A I/O)
- START: 行程开始时间
- TIME: 执行的时间
- COMMAND:所执行的指令
top
网络状态排查
netstat -antpl
PID排查
losf
