1.检查CPU内存
top
按大写的“P”键将内容按CPU占用率排序,查看占用率高的进程和PID
2.netstat主机内查看网络连接情况
netstat -anp
netstat –antlp
netstat -anltp | more
netstat -tunpl
netstat -antlp | grep -v -e nginx -e "140.205" -e "192.168.0.3:80 " -e "mem"netstat -ltpe 使用 -ep 选项可以同时查看进程名和用户名。
注意 - 假如你将 -n 和 -e 选项一起使用,User 列的属性就是用户的 ID 号,而不是用户名。
3.netstat查看gateway
netstat -rn
4.在主机外围检测主机端口开放情况
nmap -Pn 1.2.3.4 -p 1-65535
根据开放的端口缩小入侵途径范围
5.redis 6379端口是否存在未授权访问
(1)公网使用其他机器执行命令"telnet 分析主机IP 6379",若链接成功,存在Redis未授权访问
(2)本机测试redis非授权访问:[root@eapple-nfb ~]# redis-cli
127.0.0.1:6379> keys *
(3)ps -ef | grep 6379 检查Redis是否由root用户启动,如果是,疑似存在Redis未授权访问,建议使用非root用户启动,并设置密码。
(4)Redis注入SSH Key
检查/root/.ssh目录下是否存在authorizedkeys等sshkey文件,若存在且不是用户设置,疑似存在Redis未授权访问
6.根据PID找到进程文件位置
(1)ps -ef |grep 31685
ps -aux | grep zabbix
(2)利用/proc/PID
ll /proc/PID号 有一行内容为“exe -> /xxx/xxxx/xxxxx”即为该进程目录
ls -l /proc/PID号/exe
file /proc/PID号/exe
(3)lsof -p pid123456
7.根据程序名找到文件位置
find / -name infod
find / -name “ *”
find / -name “. *”
find / -name “.. *”8.根据user查找关联程序文件位置
(1)find / -user ubuntu | grep -v '/home/ubuntu'
(2)lsof -u ubuntu
9.查看程序最后修改时间
ll /路径/程序名
ll等于ls -l
ls是显示当前目录下文件,”ls -l“是显示当前目录下文件详细信息。
ll /usr/sbin/httpd
-rwxr-xr-x 1 root root 523568 Oct 12 2017 /usr/sbin/httpd
10.进程树pstree查看子进程
yum install psmisc
pstree -p
pstree -p -a三种系统上的安装方法:
#On Mac OS :brew install pstree
#On Fedora/Red Hat/CentOS :yum install psmisc #using psmisc package for pstree
#On Ubuntu/Debian APT :apt-get install psmisc11.自动启动项
(1)查看开机启动项
chkconfig --list 或者 cat /etc/rc.local
(2)定时任务脚本
crontab -l 命令查看
crontab -l -u oracle 查看oracle用户的定时任务
cron文件目录,查看/etc/crontab,/etc/cron.d,/etc/cron.daily,cron.hourly/,cron.monthly,cron.weekly/是否存在可以脚本或程序
crontab -l 命令解释
*/30 * * * * /var/tmp/". "/c
{minute} {hour} {day-of-month} {month} {day-of-week} {full-path-to-shell-script}
o minute: 区间为 0 – 59
o hour: 区间为0 – 23
o day-of-month: 区间为0 – 31
o month: 区间为1 – 12. 1 是1月. 12是12月.
o Day-of-week: 区间为0 – 7. 周日可以是0或7.
"*/30"表示每30个单位,这里代表每30分钟12.木马鉴别网站:微步在线/virustotal鉴定可疑文件和IP
https://x.threatbook.cn/
www.virustotal.com
http://r.virscan.org
13.抓包分析流量
(1)抓tcp包
tcpdump -i eth0 -w tel.pcap
(2)抓http的包
tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854
杀毒软件 clamav (1)源:yum install epel-release
14.杀毒软件 clamav
(1)源:yum install epel-release
(2)软件:yum install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd -y
(3)更新病毒库:freshclam
- 扫描所有用户的主目录就使用 clamscan -r /home
- 扫描您计算机上的所有文件并且显示所有的文件的扫描结果,就使用 clamscan -r /
- 扫描您计算机上的所有文件并且显示有问题的文件的扫描结果,就使用 clamscan -r --bell -i /
#感觉--bell没什么用,由于扫描了/sys/所以会报错4000+
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
WARNING: Can't open file /sys/bus/hid/drivers/topseed/bind: Permission denied
注意:使用clamscan --exclude-dir=/sys/ -i -r /
由于/sys/目录的特殊性,扫描会产生大量报错,越过此文件夹即可。
-i代表只报出infected的文件,-r代表子文件夹也要扫描,/就是根目录了