安全事件应急响应排查指南信息安全资料.docxVIP

安全事件应急响应排查指南

Linux应急响应排查

查看历史命令

查看历史命令，基本了解命令执行情况，就可以仔细分析并判断攻击者的行为，使用语法：

history

cat~/.bash_history

查看资源占用情况

通过查看内存、CPU使用情况，定位出不正常的程序，使用语法：

top

/*

按1后，再输入shitf+p以cpu占用排序

按shift+m以内存占用排序

*/

另外我们也可以使用free来查看，使用语法：

free

为了更直观，我们使用df来进行查看，使用语法：

df-h

然后进到跟目录使用du查看具体占用空间的目录，使用语法：

du-h--max-depth=1//后面的如果二级目录不多的情况可以把1改为2.

查看账户信息

通过查看passwd，是否有新增的非法账户（甚至是特权账户），使用语法：

cat/etc/passwd|awk-F:{print$1,$3,$4,$7}|grep/.*sh

root00/bin/bash

postgres116119/bin/bash

arpwatch119122/bin/sh

couchdb124129/bin/bash

查看账户登录情况，使用语法：

lastlog

用户名端口来自最后登陆时间

root