linux 服务器被当作肉鸽后的一次排查

查询服务器启动时间

who -b

显示网络连接、路由表、接口统计信息

netstat：网络统计（network statistics）的缩写，是一个用于显示网络连接、监听端口、路由表等信息的命令行工具。

-a：显示所有连接和监听的端口。

-n：以数字形式显示地址和端口号，而不是尝试解析主机名和服务名。

-p：显示与每个连接相关联的程序的进程标识符（PID）和程序名称（需要管理员权限）。

-t：在某些系统中，可能表示显示 TCP 连接（在 Linux 中通常是默认的）。

| more：将输出结果通过管道传递给 more 命令，以便分页显示，允许用户逐页查看输出。

netstat -anpt | more

显示当前运行的进程信息

ps：进程状态（process status）的缩写，是一个用于显示当前系统进程的命令行工具。

-a：显示所有用户的进程，而不仅仅是当前用户的进程。

-u：以用户格式显示进程信息，包括用户、CPU 和内存使用情况等。

-x：显示没有控制终端的进程，这通常包括系统进程和守护进程。

-f：以全格式显示进程信息，提供更详细的输出，包括父进程 ID（PPID）和进程树结构。

| more：将输出结果通过管道传递给 more 命令，以便分页显示，允许用户逐页查看输出。

ps -auxf | more

列出当前目录下的文件和目录信息

ll：这是一个常用的别名，通常代表 ls -l，用于以长格式列出文件和目录的详细信息。

-a：显示所有文件，包括以点（.）开头的隐藏文件。

-r：以相反的顺序显示文件和目录，即从最后修改的文件到最早修改的文件。

-t：根据修改时间排序，最近修改的文件排在前面。

cd /var/spool/cron/
ll -art

查看系统的定时任务配置文件

cat：这是一个用于连接文件并将其内容输出到标准输出（通常是终端）的命令。它常用于查看文件内容。

/etc/crontab：这是系统的 crontab 文件，包含了定时任务的配置。该文件定义了系统范围内的定时任务，通常由管理员进行管理。

cat /etc/crontab

排查命令行的历史记录

history | more

cd /tmp/
ll -art

pp

top

history | grep wget

history | grep echo

history | grep url

cd /usr/bin/

ll -art

在/usr/workspace/目录下找到异常文件 带有xmr的文件

cd /usr/workspace/

ll -art

pwd

cd /usr/sbin/

ll -art

find / -name bao
cd /usr/src/bao/
ll -art

计算当前工作目录的某个文件（如 netwotkxm）的 MD5 哈希值

md5sum netwotkxm

cd /var/log/

ll -art

从文件中提取可读字符串并过滤出包含特定文本的行 查找爆破的ip

strings secure* |grep Acc
strings secure* |grep xxx.xxx.xxx.xxx