Linux应急响应查杀病毒后门常用命令

1. 查看进程 ps -ef  或 ps -xef 或lsof -i -PnR
2. 动态查看进程、资源占用情况 top
3. 查看端口Netstat -anpt
4. 最近5天的修改文件find / -mtime -5
5. 查看隐藏文件目录 ls -la
6. 按修改顺序查看文件 ls -lt

按访问时间顺序查看 ls -lut

1. less /etc/passwd查看是否有新增用户
2. grep :0 /etc/passwd 查看是否有root权限用户u
3. stat /etc/passwd查看passwd最后修改时间

10、检查隐藏进程

    ps -ef |awk ‘{print}’ |sort -n |uniq>1

    ls /proc |sort -n |uniq >2

    diff 1 2

11、md5sum -b filename 查看文件md5值

12、ip link |grep PROMISC 查看网卡是否有promisc,如果有则可能存在sniffer

13、arp -a 查看arp记录

14、crontab -l 查看计划任务

cat /etc/crontab

ls -l /etc/cron.*

ls /var/spool/cron/

15、vim $HOME/.ssh/authorized_keys 查看ssh永久链接文件

16、cd /etc/inid.c  /rc.d …

17、搜索webshell常用命令

    find /site/* -type f -name “*.jsp” |xargs grep “exec(“

    find /site/* -type f -name “*.php” |xargs grep “eval(”

    find /site/* -type f -name “*.asp” |xargs grep “execute(”

    find /site/* -type f -name “*.aspx” |xargs grep “eval(”

    检测加密后的

    find /site/* -type f -name “*.php” |xargs grep “base64_decode”

    检测拼接的

    find /site/* -type f -name “*.php” |xargs grep “@$”

18、linux查看当前状态命令：
users:显示当前登陆用户信息。
Who:显示谁正在使用系统本地节点的信息。
Last:显示系统曾经被登陆的用户和TTYS。
w:查看谁登陆到系统中，且在做什么操作。
netstat -anp:查看端口对应的进程关系。
lsof -p PID:查看进程对应的文件，配合netstat -anp查看端口进程文件之间的关系，可以找到端口进程对应的文件。
lsof -i:查看实时的进程、服务与端口信息。
ps -aux:查看进程。
chkconfig -list:查看服务启动信息。
find / -perm -004000 -type f:输出所有设置了SUID的文件。
rpm -Va:列举全部软件包的变化情况

19、

1、注入漏洞记录
grep -i select%20 *.log  | grep 500 | grep -i \.php  查找后缀为”.log” 文件，搜索关键字为”select%20″,筛选存在”500″的行
grep -i sqlmap *.log sqlmap默认User-Agent是sqlmap/1.0-dev-xxxxxxx (http://sqlmap.org)，查看存在sqlmap的行，可以发现sqlmap拖库的痕迹。
2、跨站漏洞记录
grep -i “script” *.log 查找存在script的行。
3、扫描器扫描
grep -i acunetix *.log AWVS扫描时，会发送大量含有“acunetix”的数据包。
4、搜索特定时间的日志
grep \[07/Jul/2016:24:00:* *.log 可以结合入侵时间搜索，文件修改时间不可作为依据，菜刀上就可以修改文件时间属性。
5、搜索特定IP地址的日志
grep ^192.168.1.* *.log 搜索包含“192.168.1.”字符串开头的行
grep -v ^192.168.10.* *.log 不搜索包含“192.168.10.”字符串开头的行
可以结合网站、网络安全策略搜索能访问网站后台、FTP服务等的IP地址。

20、cd ~ 切换到当前用户home目录底下

21、strace 跟踪可执行程序

strace -f -F -o ~/straceout.txt myserver

-f -F选项告诉strace同时跟踪fork和vfork出来的进程，-o选项把所有strace输出写到~/straceout.txt里 面，myserver是要启动和调试的程序。

跟踪服务程序strace -o output.txt -T -tt -e trace=all -p 28979

跟踪28979进程的所有系统调用（-e trace=all），并统计系统调用的花费时间，以及开始时间（并以可视化的时分秒格式显示），最后将记录结果存在output.txt文件里面。

22、sysdig