应急响应常用命令手册
前言 在进行应急的时候有一些使用频率很高的命令,记录一下这些常见的命令,以便在应急的时候可以及时查看。
常见的命令
系统排查
内核:uname -a
运行时间:uptime/timedatectl
登录用户
awk -F: '($3 == "0"&& $1!="root") {print}' /etc/passwd
awk -F: '($4 == "0"&& $1!="root" && $1!="sync" &&$1!="shutdown" && $1!="halt" &&$1!="operator") {print}' /etc/passwd
具有shell环境用户-异常用户
awk -F: '{if($7!"nologin"&& $7!"shutdown" && $7!"halt"&&$7!"false" && $7!~"sync") print}' /etc/passwd
sudo授权信息
cat /etc/sudoers | grep -Ev "^$|#"
登录信息
last /var/log/wtmp
lastlog /var/log/utmp
lastb /var/log/btmp
快速查找文件
查找24小时内别修改的php文件:find ./ -mtime 0 -name ".php"
查找72小时内新增的文件 find ./ ctime 2
查找777权限的文件 find ./ .jsp -perm 4777
查找以.开头的隐藏文件 ls -ar |grep "^."
按照属主查找文件:find ./ -user apache -name ".php"
日志排查
查看当天有多少个IP访问:awk '{print $1}' access_log |sort|uniq -c|wc -l
查看某一个页面别访问的次数:grep "/index.php" log_file | wc -l
列出当天访问次数最多的IP:cut -d- -f 1 log_file|uniq -c | sort -rn | head -20
将某个IP访问的页面数进行从小到大排序:awk '{++S[$1]} END {for (a in S) print S[a],a}' access_log | sort -n
查询某个IP访问了那些页面:grep ^111.111.111.111 log_file| awk '{print $1,$7}'