系統(tǒng)排查

系統(tǒng)基本信息

CPU 信息

CPU 信息：lscpu

操作系統(tǒng)信息

操作系統(tǒng)信息：uname -a

操作系統(tǒng)信息：cat /proc/version

模塊信息

模塊信息：lsmod

賬戶信息

系統(tǒng)所有賬戶

系統(tǒng)所有賬戶：cat /etc/passwd

超級權(quán)限賬戶

超級權(quán)限賬戶：awk -F: '{if($3==0)print $1}' /etc/passwd

可登錄賬戶

可登錄賬戶：cat /etc/passwd | grep '/bin/bash'

最近20條登錄失敗信息

最近20條登錄失敗信息：lastb | head -n 20

所有賬號最后登錄信息

所有賬號最后登錄信息：lastlog

最近20條登錄信息

最近20條登錄信息：last | head -n 20

當(dāng)前登錄賬號信息

當(dāng)前登錄賬號信息：who

空口令賬號

空口令賬號：awk -F: '{if($2==0)print $1}' /etc/shadow

啟動項(xiàng)

啟動項(xiàng)：ls -lat /etc/init.d/

啟動項(xiàng)：cat /etc/init.d/rc.local

啟動項(xiàng)：cat /etc/rc.local

計劃任務(wù)

當(dāng)前計劃任務(wù)

當(dāng)前計劃任務(wù)：crontab -l

Linux Crontab 計劃任務(wù)

/var/spool/cron/ 目錄下存放的是每個用戶包括root的crontab任務(wù)，每個任務(wù)以創(chuàng)建者的名字命名

/etc/crontab 這個文件負(fù)責(zé)調(diào)度各種管理和維護(hù)任務(wù)。

/etc/cron.d/ 這個目錄用來存放任何要執(zhí)行的crontab文件或腳本。

我們還可以把腳本放在/etc/cron.hourly、/etc/cron.daily、/etc/cron.weekly、/etc/cron.monthly目錄中，讓它每小時/天/星期、月執(zhí)行一次。

crontab [-u username]　　　　//省略用戶表表示操作當(dāng)前用戶的crontab

-e??????(編輯工作表)

-l??????(列出工作表里的命令)

-r??????(刪除工作作)

我們用crontab -e進(jìn)入當(dāng)前用戶的工作表編輯，是常見的vim界面。每行是一條命令。

crontab的命令構(gòu)成為 時間+動作，其時間有分、時、日、月、周五種，操作符有

* 取值范圍內(nèi)的所有數(shù)字

/ 每過多少個數(shù)字

- 從X到Z

，散列數(shù)字

實(shí)例1：每1分鐘執(zhí)行一次myCommand

* * * * * myCommand

實(shí)例2：每小時的第3和第15分鐘執(zhí)行

3,15 * * * * myCommand

實(shí)例3：在上午8點(diǎn)到11點(diǎn)的第3和第15分鐘執(zhí)行

3,15 8-11 * * * myCommand

實(shí)例4：每隔兩天的上午8點(diǎn)到11點(diǎn)的第3和第15分鐘執(zhí)行

3,15 8-11 */2??*??* myCommand

實(shí)例5：每周一上午8點(diǎn)到11點(diǎn)的第3和第15分鐘執(zhí)行

3,15 8-11 * * 1 myCommand

實(shí)例6：每晚的21:30重啟smb

30 21 * * * /etc/init.d/smb restart

實(shí)例7：每月1、10、22日的4 : 45重啟smb

45 4 1,10,22 * * /etc/init.d/smb restart

實(shí)例8：每周六、周日的1 : 10重啟smb

10 1 * * 6,0 /etc/init.d/smb restart

實(shí)例9：每天18 : 00至23 : 00之間每隔30分鐘重啟smb

0,30 18-23 * * * /etc/init.d/smb restart

實(shí)例10：每星期六的晚上11 : 00 pm重啟smb

0 23 * * 6 /etc/init.d/smb restart

實(shí)例11：每一小時重啟smb

0 */1 * * * /etc/init.d/smb restart

實(shí)例12：晚上11點(diǎn)到早上7點(diǎn)之間，每隔一小時重啟smb

0 23-7/1 * * * /etc/init.d/smb restart

創(chuàng)建、編輯計劃任務(wù)的命令為crontab -e

查看當(dāng)前計劃任務(wù)的命令為crontab -l

刪除某條計劃任務(wù)的命令為crontab -r

另外，如果您是以管理員的身份登錄的系統(tǒng)，還可以在crontab命令中加上-u參數(shù)來編輯他人的計劃任務(wù)。

crontab命令的參數(shù)及其作用

參數(shù)???????作用

-e???????編輯計劃任務(wù)

-u???????指定用戶名稱

-l???????列出任務(wù)列表

-r???????刪除計劃任務(wù)

分、時、日、月、星期 命令

如果有些字段沒有被設(shè)置，則需要使用星號（*）占位

使用crond設(shè)置任務(wù)的參數(shù)字段說明

字段???????說明

分鐘???????取值為0～59的整數(shù)

小時???????取值為0～23的任意整數(shù)

日期???????取值為1～31的任意整數(shù)

月份???????取值為1～12的任意整數(shù)

星期???????取值為0～7的任意整數(shù)，其中0與7均為星期日

命令???????要執(zhí)行的命令或程序腳本

在crond服務(wù)的配置參數(shù)中，一般會像Shell腳本那樣以#號開頭寫上注釋信息，這樣在日后回顧這段命令代碼時可以快速了解其功能、需求以及編寫人員等重要信息。

計劃任務(wù)中的“分”字段必須有數(shù)值，絕對不能為空或是*號，而“日”和“星期”字段不能同時使用，否則就會發(fā)生沖突。

cron是Linux中默認(rèn)的計劃任務(wù)。使用cron，你可以安排一個計劃（比如：命令或者shell腳本）周期性地運(yùn)行或者在指定的分鐘、小時、天、周、月等特定時間運(yùn)行。cron在你安排不同的常規(guī)維護(hù)任務(wù)時是很有用的，比如周期性地備份、日志循環(huán)、檢查文件系統(tǒng)、監(jiān)測磁盤空間等等

每個cron任務(wù)的格式如下。

<分鐘> <小時> <日> <月> <星期> <命令>

查看計劃任務(wù)文件

查看計劃任務(wù)文件：ls -lat /etc/cron*

/etc/crontab

/etc/cron.d/*

/etc/cron.daily/*

/etc/cron.hourly/*

/etc/cron.monthly/*

/etc/cron.weekly/*

/etc/anacrontab

進(jìn)程排查

網(wǎng)絡(luò)連接

網(wǎng)絡(luò)連接：netstat -antlp

查找對應(yīng)運(yùn)行程序

查找對應(yīng)運(yùn)行程序：ls -lat /proc/20583

查看程序打開文件

查看程序打開文件：lsof -p 20583

結(jié)束進(jìn)程

結(jié)束進(jìn)程：kill -9 20583

Linux kill命令

Linux kill 命令用于刪除執(zhí)行中的程序或工作。

linux 的 kill 命令是向進(jìn)程發(fā)送信號，kill 不是殺死的意思，-9 表示無條件退出，但由進(jìn)程自行決定是否退出，這就是為什么 kill -9 終止不了系統(tǒng)進(jìn)程和守護(hù)進(jìn)程的原因。

Linux pkill 命令

Linux pkill 用于殺死一個進(jìn)程，與 kill 不同的是它會殺死指定名字的所有進(jìn)程，類似于 killall 命令。

kill 命令殺死指定進(jìn)程 PID，需要配合 ps 使用，而 pkill 直接對進(jìn)程對名字進(jìn)行操作，更加方便。

pkill -9??php-fpm??????????//結(jié)束所有的 php-fpm 進(jìn)程

Linux killall 命令

Linux killall 用于殺死一個進(jìn)程，與 kill 不同的是它會殺死指定名字的所有進(jìn)程。

kill 命令殺死指定進(jìn)程 PID，需要配合 ps 使用，而 killall 直接對進(jìn)程對名字進(jìn)行操作，更加方便。

killall -9 php-fpm??????????//結(jié)束所有的 php-fpm 進(jìn)程

查看文件屬性

查看文件屬性：lsattr filename

移除 i 屬性

移除 i 屬性：chattr -i filename

查看隱藏進(jìn)程

ps -ef | awk '{print}' | sort -n | uniq > 1

ls /proc | sort -n | uniq > 2

diff 1 2

查看資源占用率較高的進(jìn)程

查看資源占用率較高的進(jìn)程：top

服務(wù)排查

系統(tǒng)運(yùn)行服務(wù)

系統(tǒng)運(yùn)行服務(wù)：chkconfig –list

Centos7 查看自啟動列表systemctl list-unit-files以及設(shè)置服務(wù)自啟動

系統(tǒng)運(yùn)行服務(wù)：systemctl list-unit-files

所有服務(wù)狀態(tài)

所有服務(wù)狀態(tài)：service --status-all

所有服務(wù)狀態(tài)：

顯示所有的服務(wù)狀態(tài)—空格翻頁 q推出

systemctl list-units --type service –all

查看啟動成功的服務(wù)列表

systemctl list-unit-files | grep enabled

查看啟動失敗的服務(wù)列表

systemctl --failed

查看所有服務(wù)的狀態(tài)—空格翻頁 q推出

systemctl list-unit-files --type service

文件痕跡排查

敏感目錄

/tmp

/usr/bin/

/usr/sbin/

~/.ssh/

/etc/ssh/

時間點(diǎn)查找

find：在指定目錄下查找文件

-type b/d/c/p/l/f：查找塊設(shè)備、目錄、字符設(shè)備、管道、符號鏈接、普通文件

-mtime -n +n：按文件更改時間來查找文件，-n 指 n 天以內(nèi)，+n 指 n 天前。

-atime -n +n：按文件訪問時間來查找文件，-n 指 n 天以內(nèi)，+n 指 n 天前。

-ctime -n +n：按文件創(chuàng)建時間來查找文件，-n 指 n 天以內(nèi)，+n 指 n 天前。

查找一天內(nèi)新增的 sh 文件

查找一天內(nèi)新增的 sh 文件：find / -ctime 0 -name "*.sh"

查看排序后前10行的內(nèi)容

查看排序后前10行的內(nèi)容：ls -lat | head -n 10

排查文件創(chuàng)建、修改、訪問時間

排查文件創(chuàng)建、修改、訪問時間：stat /etc/passwd

特殊文件

特殊權(quán)限文件

特殊權(quán)限文件：find /tmp -perm 777

WebShell

WebShell：find /var/www/ -name "*.php"

系統(tǒng)命令檢測

系統(tǒng)命令檢測：ls -lat /bin/ /sbin/

系統(tǒng)命令檢測：ls -lah /bin/ /sbin/

后門檢測

后門檢測：chkrootkit -q | grep INFECTED

SUID 程序排查

SUID 程序排查：find / -type f -perm -04000 -ls -uid 0 2>/dev/null

日志分析

日志概述

/var/log/

/var/log/wtmp 登錄進(jìn)入、退出、數(shù)據(jù)交換、關(guān)機(jī)和重啟，即last

/var/log/cron 計劃任務(wù)有關(guān)的日志信息

/var/log/messages 系統(tǒng)啟動后的信息和錯誤日志

/var/log/apache2/access.log Apache 訪問日志

/var/log/auth.log 系統(tǒng)授權(quán)信息，包括賬號登錄和使用的權(quán)限機(jī)制

/var/log/userlog 所有等級賬號信息日志

/var/log/vftpd.log FTP 日志

/var/log/lastlog 登錄的賬號，也可以使用命令 lastlog 查看

/var/log/secure 大多數(shù)應(yīng)用輸入的賬號和密碼，以及登錄成功與否

/var/log/faillog 登錄系統(tǒng)失敗的賬號信息

日志分析

grep

sed

sort

awk

?