当前位置: 首页 > news >正文

【网络安全】Linux 应急响应-溯源-系统日志排查知识点

news 2025/7/25 22:04:48

Linux 应急响应-溯源-系统日志排查知识点汇总

1. 查看当前已经登录到系统的用户 (w 命令)

w

2. 查看所有用户最近一次登录 (lastlog 命令)

lastlog
lastlog | grep -v "Never logged in"

3. 查看历史登录用户以及登录失败的用户 (lastlastb 命令)

last
lastb

4. SSH 登录日志分析 (/var/log/secure)

grep Failed /var/log/secure*

5. 查看系统历史命令 (.bash_history)

history
find / -name .bash_history

6. 计划任务日志 (/var/log/cron)

cat /var/log/cron* | awk -F':' '{print $NF}' | grep CMD | sort | uniq -c | sort -rn

7. 检查系统用户 (/etc/passwd, /etc/shadow, /etc/group)

head -n 1 /etc/passwd

8. 中间件日志 (/var/log/httpd/access_log)

cat /www/wwwlogs/access_log | less

9. 通过时间检查站点被黑客修改过的文件

find /www/wwwroot/ecshop.xueshenit.com/ -name "*.php" -mtime -1

10. 检查服务器已经建立的网络连接 (netstat 命令)

netstat -anutp

11. 通过 GScan 工具自动排查后门

使用 GScan 工具
unzip GScan-master.zip
cd GScan-master
python GScan.py --help
python GScan.py --pro

12. systemd-journald 服务分析系统日志

systemd-journald 持久化配置
mkdir /etc/systemd/journald.conf.d
vim /etc/systemd/journald.conf.d/99-prophet.conf
# 编辑配置文件,设置 Storage=persistent 等参数
systemctl restart systemd-journald
journalctl 查询日志
journalctl
journalctl -r
journalctl -u sshd
journalctl -f

13. 实战清理系统日志后使用 systemd-journald 分析日志

清理日志并使用 journalctl
echo > /var/log/secure
echo > /var/log/messages
# ... 对其他日志文件执行相同操作
journalctl --until "2021-11-05 17:47:00" -o short-precise

附加操作

自定义历史命令输出格式

编辑 /etc/profile/etc/bashrc 文件,添加如下内容:

export PROMPT_COMMAND='RETRN_VAL=$?;logger -p local6.debug "$(whoami) [$$]: $(history 1 | sed "s/^[ ]*[0-9]\\+[ ]*//" ) [$RETRN_VAL]"'
readonly PROMPT_COMMAND
查找特定时间范围内被修改过的文件
find /www/wwwroot/ecshop.xueshenit.com/ -name "*.php" -newermt '2021-08-01 9:00' ! -newermt '2021-09-15 21:00' | xargs ls -l

这些命令和操作步骤提供了对Linux系统进行应急响应和日志分析的基本方法。实际操作时,可能需要根据具体情况调整命令参数。

http://www.lryc.cn/news/351876.html

相关文章:

  • Spark项目实训(一)
  • 爬虫基础1
  • vlan综合实验
  • 如何使用ffmpeg 实现10种特效
  • C语言如果变量全部在全局内存空间会怎么样
  • 【YOLO改进】换遍MMPretrain主干网络之ConvNeXt-Tiny(基于MMYOLO)
  • 【数据库】MySQL
  • JVM运行时内存:垃圾回收器(Serial ParNew Parallel )详解
  • The Missing Semester of Your CS Education(计算机教育中缺失的一课)
  • 如何为ChatGPT编写有效的提示词:软件开发者的指南
  • angular插值语法与属性绑定
  • Python ❀ 使用代码解决今天中午吃什么的重大生存问题
  • 做抖音小店需要清楚的5个核心点!
  • 文件流下载优化:由表单提交方式修改为Ajax请求
  • 基础3 探索JAVA图形编程桌面:逻辑图形组件实现
  • 前后端部署笔记
  • 设计模式9——适配器模式
  • 一文了解基于ITIL的运维管理体系框架
  • Web前端开发技术-格式化文本 Web页面初步设计
  • Windows下部署Seata1.5.2,解决Seata无法启动问题
  • 我加入了C++交流社区
  • Vue从入门到实战Day11
  • day15|各种遍历的应用
  • 第12周作业--HLS入门
  • WorkManager使用技巧及各Android版本适配
  • 鼠标滚轮使用时上下跳动的解决方法
  • CSS【常用CSS样式、盒子模型、定位、浮动 、扩展样式】--学习JavaEE的day46
  • os.path 提供用于处理文件路径和文件的系统函数
  • golang通过go-aci适配神通数据库
  • 【Vue】Vue2中的Vuex