1.查看哪些用户拥有/bin/bash权限
cat /etc/passwd
2.检查常用命令是否被篡改
(1)找到命令文件的路径(whereis和which)
whereis netstat
which netstat
which netstat
/bin/netstat
whereis netstat
netstat: /bin/netstat /usr/share/man/man8/netstat.8.gz
(2)观察命令的属性,主要看修改时间和大小(stat和ll)
stat /bin/netstat
ll -h /bin/ps
-rwxr-xr-x. 1 root root 81K Nov 15 2012 /bin/ps
如果发现命令异常,可能被篡改,可以上传到微步鉴别一下。为了排除干扰,建议从其他正常系统中拷贝命令集使用。
stat 可以查看文件的访问、修改、改变时间
对文件使用more\less\cat命令后文件的访问时间分别变化为最后一次访问的时间,而文件的修改时间和改变时间并没有发生变化。
stat /bin/netstat
File: `/bin/netstat’ Size: 123360 (Byte) Blocks: 248 IO
Block: 4096 regular file Device: fc01h/64513d Inode: 5219
Links: 1 Access: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: (
0/ root) Access: 2018-05-07 17:00:50.927556605 +0800 Modify:
2012-05-10 16:17:33.000000000 +0800 Change: 2015-11-17
18:47:03.594999914 +0800
观察文件大小,如果特别大即有可能异常
观察列出的第三行最后改动时间,如果为事发时间附近即有可能异常
3.文件隐藏属性attrtest
(1)显示文件attrtest隐藏属性
lsattr attrtest
(2)给文件attrtest添加或者删除i属性
chattr +i attrtest
chattr -i attrtest
4.检查history命令输出为空
ls -l ~/.bash_history
在你执行了上述的命令后你将看到类似以下的正常输出:
-rw—— 1 jd jd 13829 Oct 10 17:06 /home/jd/.bash_history
如果你看到以下的输出:
lrwxrwxrwx 1 jd jd 9 Oct 10 19:40 /home/jd/.bash_history -> /dev/null
表明这个 .bash_history 文件已经被重定向到/dev/null.这是一个致命的信息。
如何清空历史记录history?
linux 清空history以及记录原理
1、当前session执行的命令,放置缓存中,执行exit时,把缓存信息写入~/.bash_history
2、当session直接被kill时,缓存中的历史命令不会写入~/.bash_history
3、正确清空当前用户的history的方法
~/.bash_history history -c #清空当前缓存中的命令 exit
#关闭shell连接,可以避免写入~/.bash_history
#执行exit,会把该命令记录到~/.bash_history文件去"
5.环境变量和当前连接IP
env
6.欢迎语
cat /etc/motd 切数据,勒索的多用
7.重启关机记录
(1)last
last | grep rebootlast | grep shutdown
(2)messages log
在/var/log/messages日志中查询reboot (系统重启) 或者halt(系统关机)
grep reboot /var/log/messages
grep halt /var/log/messages
8.踢出恶意用户的连接、kill 恶意进程、reset 用户密码
(1)根据TTY提出可疑用户:pkill -kill -t tty1
(2)根据PID杀掉恶意进程:kill -9 31685
(3)修改用户密码
修改user1的密码passwd user1
修改当前用户的密码passwd
9.rm删除恶意文件
删除文件夹:
rm -rf /var/log/httpd/access
将会删除/var/log/httpd/access目录以及其下所有文件、文件夹
删除文件:
rm -f /var/log/httpd/access.log
将会强制删除/var/log/httpd/access.log这个文件
10.Iptables保存、重启、关闭、列出规则、添加规则
iptables相关使用说明
(1)保存iptables配置service iptables save
(2)关闭、开启、重启防火墙
/etc/init.d/iptables stop
/etc/init.d/iptables start
/etc/init.d/iptables restart
/etc/init.d/iptables status
或
service iptables start
service iptables stop
service iptables restart
service iptables status
(3)凡是对iptables做完修改都应该保存设置并重启
(4)查看Iptables转发规则:cat /etc/sysconfig/iptables或者service iptables status
iptables -L列出规则
iptables -L -n -v" "Iptables规则:只允许192.168段的IP访问
iptables -A INPUT -p tcp --dport 54321 -j DROP
iptables -A INPUT -p tcp -s 192.168.0.0/16 --dport 54321 -j ACCEPT
或
iptables -I INPUT -p tcp --dport 11211 -j DROP
iptables -I INPUT -s 192.168.0.0/16 -p tcp --dport 11211 -j ACCEPT
service iptables save
service iptables restart
Iptables删除规则
iptables -D INPUT -p tcp --dport 11211 -j DROP
重启网卡 "启动、关闭、重启网卡eth0
ifconfig eth0 up
ifconfig eth0 down
ifconfig eth0 down && ifconfig eth0 up
ifdown eth0
ifup eth0
启动、关闭、重启所有网卡
service network restart
service network start
service network stop
systemctl restart network
一些情况下service命令会收给root使用,而普通用户在特定情况下仍可以使用ifconfig。