linux应急响应常用命令

1. 查看用户信息文件

cat /etc/passwd

2. 查看影子文件

cat /etc/shadow

3. 查看历史命令文件

#root
history
#普通用户
/home 下的.bash_history
cat .bash_history >> history.txt

4. 查看端口

netstat -anplt | more

5. 查看进程

ps -ef
ps aux
ps aux | grep pid

6. 定时任务查看

#crontab
/etc/crontab/
/var/spool/

7. 查找异常文件

find / -name *.php
-type f //文件
-type d //文件夹

8. 检查日志文件

/var/log
cat test.log | more | less
按/ 进行查找

9. 打开日志文件

head -5 file //显示前5行
tail -5 file //显示后5行

10. 查看进程cpu使用率

top
第一行，任务队列信息，同 uptime 命令的执行结果
第二行，Tasks — 任务（进程）
第三行，cpu状态信息
第四行,内存状态
第五行，swap交换分区信息
第七行以下：各进程（任务）的状态监控
按数字1查看每一个cpu占用率

11. 打包log文件

tar zcvf file.tar.gz dir
tar zxvf file.tar.gz

12. t00ls大佬分享的技巧

1、定位有多少IP在爆破主机的root帐号：    
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

定位有哪些IP在爆破：
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

爆破用户名字典是什么？
 grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
 
2、登录成功的IP有哪些：   
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

登录成功的日期、用户名、IP：
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'