LOnils's Blog

Linux Compromise Detection Command Cheatsheet

Word count: 553Reading time: 2 min
2020/06/05 Share

Linux应急检测命令备忘表,从进程、目录、文件、用户、日志进行查询搜索,仅供参考。

建议有些命令附带busybox 执行,最好方式还是查看文件而不单是执行命令 :)

Processes

查看占用大量CPU/RAM的进程

1
top

进程树

1
ps -auxwf

开放的网络端口

1
2
3
4
netstat -nalp
netstat -plant
ss -a -e -i
lsof [many opitons]

查找被删除但还在运行的程序

1
ls -alR /proc/*/exe 2> /dev/null |grep deleted

进程相关名称及命令

1
2
strings /proc/<PID>/comm
strings /proc/<PID>/cmdline

进程实际路径

1
ls -al /proc/<PID>/exe

进程执行时环境变量

1
strings /proc/<PID>/environ

查看所有进程执行目录

1
ls -alR /proc/*/cwd

查看在tmp dev 目录下执行的程序

1
2
ls -alR /proc/*/cwd 2> /dev/null | grep tmp
ls -alR /proc/*/cwd 2> /dev/null | grep dev

Directories

需要检查的目录

1
2
/tmp, /var/tmp, /dev/shm, /var/run,
/var/spool, user home directories

向目录追加 / 指示符

1
ls -alp

显示隐藏目录

1
find / -type -d -name ".*"

Files

查找设置属性为不可修改的文件

1
lsattr / -R 2> /dev/null | grep "\----i"

查找设置为SUID/SGUID的文件

1
find / -type f \( -perm -04000 -o -perm -02000 \) -exec ls -lg {} \;

查找没有用户/组名称的文件

1
find / \( -nouser -o -nogroup \) -exec ls -lg {} \;

列出当前目录中的所有文件类型

1
file * -p

查找可执行文件

1
2
find / -type f -exec file -p '{}' \; | grep ELF
find /tmp -type f -exec file -p '{}' \; | grep ELF

最近一天有修改(modified/created)的文件

1
find / -mtime -1

可存放后门持久化的目录

1
/etc/rc.local, /etc/initd, /etc/rc*.d, /etc/modules, /etc/cron*, /var/spool/cron/*

查找已经修改的包文件

1
2
rpm -Va | grep ^..5.
debsums -c

Users

查找所有ssh公钥文件

1
find / -name authorized_keys

查找所有用户历史日志文件

1
find / -name .*history

查找历史日志文件重定向到/dev/null

1
ls -alR / 2> /dev/null | grep .*history | grep null

查看root用户/组

1
grep ":0:" /etc/passwd

检测sudoers 文件

1
2
cat /etc/sudoers
cat /etc/group

检查计划任务

1
2
3
crontab -l
atq
systemctl list-timers --all

Logs

查找大小为0的文件

1
ls -al /var/log/*

审计登录日志

1
2
3
4
5
utmpdump /var/log/wtmp
utmpdump /var/run/utmp
utmpdump /var/log/btmp
last
lastb

查找包含有二进制文件的日志

1
grep [[:cntrl:]] /var/log/*.log

Referer

Linux.Compromise.Detection.Command.Cheatsheet.pdf

CATALOG
  1. 1. Processes
  2. 2. Directories
  3. 3. Files
  4. 4. Users
  5. 5. Logs
  6. 6. Referer