linux系统应急响应排查手册

admin 8月前 427


系统登陆日志

/var/log/wtmp //登陆成功的信息,包括用户登录、注销及系统的启动、停机的事件/var/log/btmp //登陆失败的信息/var/run/utmp //正在登陆的信息/var/log/secure //系统认证信息日志,包括用户登陆成功、登陆失败日志

wtmp

last -f /var/log/wtmplast//登陆成功的信息,记录信息包括登陆用户、登陆IP、时间

  • 1 表示登陆用户
  • 2 其中pts/0、pts/1表示虚拟终端terminal,tty2表示新打开的终端teletype,:0表示本地
  • 3 记录登陆IP地址,:0表示本地登陆,3.10.0-862.el7.x也表示本地
  • 4 5 记录登陆开始时间到登陆结束时间

btmp

last -f /var/log/btmplastb//记录登陆失败的信息,记录信息包括失败用户、尝试登陆IP、尝试登陆时间

  • 1 登陆用户
  • 2 表示登陆失败,ssh:notty表示no terminal
  • 3 表示登陆IP
  • 4 表示尝试登陆时间

utmp

last -f /var/run/utmp//记录正在登陆用户信息
   

  • 1 表示登陆用户
  • 2 表示登陆虚拟终端
  • 3 表示登陆IP
  • 4 表示登陆时间

secure

cat /var/log/secure//系统认证信息日志,包括用户登陆成功、登陆失败日志

  • Accepted 表示用户密码登陆成功
  • Failed 表示用户密码登陆失败

lastlog

lastlog//表示所有用户最近的登陆信息

系统用户排查

排查高权限用户

awk -F: '{if($3==0)print $1}' /etc/passwd

排查可登陆用户

cat /etc/passwd  | grep /bin/bash

查看空口令用户

awk -F: '{if($2==0)print $1}' /etc/shadow

启动项排查

ls -al /etc/rc.dls -al /etc/init.d/cat /etc/rc.localcat /etc/init.d/rc.local

/etc/rc.d

ls -al /etc/rc.d

/etc/init.d

ls -al /etc/init.d/

/etc/rc.local

cat /etc/rc.local

/etc/init.d/rc.local

任务计划

crontab -l     
ls -al /var/spool/cron/ls /etc/cron*

crontab -l

crontab -l 
ls -al /var/spool/cron/cat /var/spool/cron/root

/etc/cron*

 ls /etc/cron*
   

进程排查

ps -aux //静态显示进程状态top     //动态显示进程状态

ps -aux

ps -aux //显示所有包含使用者的进程ps -aux --sort==%cpu | head -10 //按照CPU大小排序

  • USER: 进程拥有者
  • PID: pid
  • %CPU: 占用的 CPU 使用率
  • %MEM: 占用的记忆体使用率
  • VSZ: 占用的虚拟记忆体大小
  • RSS: 占用的记忆体大小
  • TTY: 终端的次要装置号码 (minor device number of tty)
  • STAT: 该行程的状态:
  • D: 无法中断的休眠状态 (通常 IO 的进程)
  • R: 正在执行中
  • S: 静止状态
  • T: 暂停执行
  • Z: 不存在但暂时无法消除
  • W: 没有足够的记忆体分页可分配
  • <: 高优先序的行程
  • N: 低优先序的行程
  • L: 有记忆体分页分配并锁在记忆体内 (实时系统或捱A I/O)
  • START: 行程开始时间
  • TIME: 执行的时间
  • COMMAND:所执行的指令

top

top

网络状态排查

netstat -antpl

netstat -antpl

PID排查

losf -p 进程PID

losf


最新回复 (0)
返回
发新帖