确定系统中是否有一个看起来可疑的用户

Cat/etc/passwd

查看用户密码信息，且只有root用户可以查看。

cat /etc/shadow

查看用户组信息

cat/etc/group

快速定位sudo组

查看当前登录系统用户信息

whoami

w

who

netstat -pantu 查看网络状态

启动ssh服务。

使用ssh 127.0.0.1 登录。

last //查看登录记录

lastb //查看登录日志记录

ls -alh 查看当前路径下的文件信息

识别系统中任何过大的文件及其权限

find /home/ -type f -size +512k -exec ls -lh {} \; //查看home目录下文件大于512k的文件信息

找到所有SUID的文件find / -perm -u=s -type f 2>/dev/null

查找用户有su权限的文件目录。

find命令suid提权which find //查看文件路径

chmod u+s /usr/bin/find 给用户添加s的权限

ls -la /usr/bin/find 查看find的权限

使用之前的命令，发现他已经被添加到suid文件中。

find / -perm -u=s -type f 2>/dev/null

find . -exec “whoami” \; 查看文件权限，权限为root用户的权限

创建test文件，查看test的文件权限.

查看服务器已经运行了多长时间、系统中的当前时间、当前登录了多少用户以及系统的平均负载uptime

查看Linux中系统的内存使用情况，系统中使用的物理内存和交换内存，以及内核使用的缓冲区free

检查系统上是否存在未知的挂载cat /proc/mounts

service —status-all //获取当前系统所有服务信息 +开启 -关闭

cat /etc/crontab 查看计划任务的信息

筛选开启的服务

more /etc/resolv.conf 查看DNS服务的ip地址

more /etc/hosts 查看

iptables -L -n 查看防火墙规则

arp指令用来管理系统的arp缓冲区，可以显示、删除、添加静态mac地址。arp -vn

添加静态映射arp -i eth0 -s IP地址 MAC地址

显示网络连接信息netstat -pantu

IP地址信息查看ifconfig

定义：计算机调查取证，是法医学下的一个分支，与法医相似，计算机调查取证是有关从计算机中获取电子证据并加以分析的过程。使调查的结果能够经受法庭的检查。

本文主要从完整的Linux的应急响应过程出发，主要包括系统用户信息收集、linux系统文件信息收集、系统资源信息、服务信息、网络信息收集，最后梳理整个应急响应流程。