60个应急响应命令,网络安全应急工程师必备
一、系统基础信息查看
- uname -a:全面展示系统内核名称、主机名、内核版本、处理器架构等,用于快速了解系统基础信息,判断系统类型与版本是否存在已知漏洞。
- cat /etc/os - release:精准呈现操作系统的发行版本、代号、厂商等信息,为后续分析软件兼容性及特定版本安全问题提供依据。
- lscpu:清晰列出CPU的详细信息,包括核心数、架构、主频等,通过对比正常配置,排查CPU是否因恶意程序运行而异常负载。
- free -h:直观显示系统内存的使用情况,包括已用、空闲、共享内存等,有助于发现内存占用异常的进程,可能与恶意软件或内存泄漏有关。
- df -h:详细展示文件系统磁盘的使用状况,各分区的容量、已用空间、可用空间一目了然,可及时察觉磁盘空间被恶意占满的情况。
二、用户信息排查 - cat /etc/passwd:查看系统中的所有用户信息,包括用户名、用户ID、组ID、用户主目录、默认Shell等,从中可发现是否存在新增的可疑用户。
- cat /etc/shadow:(需root权限)查看用户密码的加密信息及密码相关设置,如密码最后修改时间、密码过期时间等,判断用户密码是否存在异常变更。
- awk -F: '$3==0{print $1}' /etc/passwd:快速筛选出具有超级权限(UID为0)的用户,检查是否有非法的特权用户创建。
- grep -v nologin /etc/passwd:列出除了不可登录用户之外的其他用户,排查是否有新增可登录的可疑账号。
- grep /bin/bash /etc/passwd:找出使用bash作为默认Shell的用户,因为这类用户可直接执行命令,重点关注其行为是否异常。
- last:呈现系统的登录历史记录,包括登录用户、登录时间、来源IP、登录终端等,用于追踪异常登录行为及时间节点。
- lastb:专门显示登录失败的历史记录,帮助定位可能的暴力破解攻击来源IP及尝试次数。
- whoami:确认当前登录用户身份,在切换用户频繁的应急场景中,明确操作主体。
- who -u:查看当前登录的用户及其登录时间、空闲时间、进程ID等详细信息,辅助判断用户活动状态。
- w:展示当前登录用户的详细信息,包括登录时间、来源IP、正在执行的命令等,实时了解系统用户的操作行为。
三、进程与服务管理 - ps -aux:全面列出系统当前所有进程的详细信息,如进程所有者、CPU和内存占用率、启动时间、命令行等,是排查异常进程的基础命令。
- ps -ef:以更为标准的格式显示进程信息,包括父进程ID等,便于梳理进程间的父子关系,追踪可疑进程来源。
- top:动态实时监控系统进程状态,默认按CPU占用率排序,可直观发现CPU占用过高的进程,按M可切换为按内存占用排序。
- htop:(需额外安装)功能更强大的进程监控工具,界面更友好,支持鼠标操作,可同时展示多个进程的详细信息及资源占用对比。
- pidof [进程名]:根据进程名称快速获取其对应的进程ID,方便后续对特定进程进行操作。
- kill -9 [PID]:强制终止指定进程ID的进程,用于紧急关停恶意或异常占用资源的进程,但可能导致数据丢失,需谨慎使用。
- killall -9 [进程名]:按进程名称终止所有相关进程,适用于批量终止同类型的异常进程。
- systemctl status [服务名]:查看指定服务的运行状态,包括是否正在运行、启动时间、资源占用等,判断服务是否正常。
- systemctl start [服务名]:启动指定的系统服务。
- systemctl stop [服务名]:停止指定的系统服务,在服务被恶意利用或出现故障时可及时关停。
- systemctl restart [服务名]:重启指定服务,常用于服务配置更改后使其生效,或尝试恢复异常服务。
- systemctl enable [服务名]:设置指定服务在系统开机时自动启动。
- systemctl disable [服务名]:禁止指定服务在系统开机时自动启动,防止恶意服务随系统启动。
- systemctl list - unit - files | grep enabled:列出所有设置为开机自启的服务,排查是否存在可疑的自启项。
- chkconfig --list:(适用于旧版本系统)查看系统中所有服务的启动状态及运行级别相关设置。
四、网络连接检查netstat -pantu:查看系统当前所有的网络连接,包括TCP和UDP连接,显示源IP、源端口、目标IP、目标端口、连接状态及对应的进程信息,用于发现可疑的网络外联或异常端口监听。1. netstat -lnp:仅列出正在监听的网络端口,快速定位系统开放的服务端口,检查是否有未授权的端口开放。 - lsof -i:查看网络连接及对应进程信息,可直观看到哪个进程在使用特定的网络连接或端口,与netstat配合使用,更全面排查网络相关问题。
- lsof -i :[端口号]:根据端口号查找使用该端口的进程,精准定位占用特定端口的程序,判断其是否正常。
- ifconfig:查看网络接口的配置信息,包括IP地址、子网掩码、广播地址、MAC地址等,检查网络接口设置是否被篡改。
- ip addr show:(更推荐的新命令)以更清晰的格式展示网络接口的详细地址信息,包括IPv4和IPv6地址等。
- route -n:查看系统的路由表,了解数据包转发路径,排查路由表是否被恶意修改,导致网络流量异常。
- traceroute [目标IP或域名]:追踪到目标IP或域名的网络路由路径,用于分析网络连接故障或排查是否存在流量劫持。
- ping [目标IP或域名]:测试与目标IP或域名的网络连通性,可通过丢包率、延迟等判断网络是否正常。
- arp -a:查看ARP缓存表,检查IP地址与MAC地址的映射关系,防止ARP欺骗攻击导致网络通信异常。
五、文件与目录操作 - ls -l /path/to/directory:详细列出指定目录下的文件和子目录信息,包括文件权限、所有者、大小、修改时间等,通过对比文件修改时间等信息,发现异常文件。
- ls -al /path/to/directory:列出指定目录下包括隐藏文件在内的所有文件详细信息,隐藏文件可能是恶意程序藏匿之处。
- find / -name [文件名]:在整个系统中查找指定名称的文件,用于定位特定的恶意文件或重要配置文件。
- find / -type f -mmin -[分钟数]:查找在指定分钟数内被修改过的文件,可快速定位近期被恶意程序篡改的文件。
- find / -type f -size +[大小值]c:查找大于指定大小(单位为字节)的文件,可用于发现异常大的文件,可能是恶意程序生成的日志或数据文件。
- md5sum [文件名]:计算文件的MD5校验和,通过与已知正确的MD5值对比,判断文件是否被篡改。
- sha256sum [文件名]:计算文件的SHA - 256校验和,相比MD5,安全性更高,用于更可靠的文件完整性验证。
- chmod [权限设置] [文件名或目录名]:修改文件或目录的权限,在应急响应中,可调整被恶意修改权限的文件,恢复正常访问控制。
- chown [所有者:组] [文件名或目录名]:更改文件或目录的所有者和所属组,确保文件的所有权正确,防止恶意用户利用文件权限漏洞。
- cp [源文件或目录] [目标文件或目录]:复制文件或目录,在备份重要数据或复制可疑文件进行分析时常用。
- mv [源文件或目录] [目标文件或目录]:移动或重命名文件、目录,可用于隔离可疑文件,防止其继续造成危害。
- rm -f [文件名或目录名]:强制删除文件或目录(慎用),在确认文件为恶意且无需保留时,可用于清除恶意文件,但操作不可逆。
六、日志分析 - cat /var/log/syslog:查看系统综合日志,记录了系统运行过程中的各种事件,包括系统启动、服务状态变化、硬件问题等,从中可发现系统层面的异常情况。
- cat /var/log/secure:查看安全相关日志,主要记录用户登录认证信息,如登录成功、失败记录,可用于发现暴力破解、非法登录等安全事件。
- cat /var/log/messages:涵盖系统启动、运行过程中的各类消息,包括内核消息、应用程序输出等,全面了解系统运行状况。
- tail -f /var/log/apache2/access.log:(针对Apache服务器)实时查看Apache服务器的访问日志,分析网站访问情况,发现异常请求,如SQL注入、XSS攻击尝试等。
- tail -f /var/log/nginx/access.log:(针对Nginx服务器)实时查看Nginx服务器的访问日志,同样用于监测网站访问中的异常行为。
- grep "关键词" /var/log/[日志文件名]:在指定日志文件中搜索包含特定关键词的日志记录,如搜索“failed password”查找登录失败记录,快速定位相关安全事件。
- awk '{print $字段号}' /var/log/[日志文件名]:从日志文件中提取指定字段的内容,例如从登录日志中提取IP地址字段,方便对特定信息进行统计分析。
- sort /var/log/[日志文件名] | uniq -c:对日志文件内容进行排序并统计相同记录的出现次数,可用于分析频繁出现的异常行为,如某个IP的大量登录失败尝试。
浙公网安备 33010602011771号