- 查看用户信息文件
cat /etc/passwd
- 查看影子文件
cat /etc/shadow
- 查看历史命令文件
#root
history
#普通用户
/home 下的.bash_history
cat .bash_history >> history.txt
- 查看端口
netstat -anplt | more
- 查看进程
ps -ef
ps aux
ps aux | grep pid
- 定时任务查看
#crontab
/etc/crontab/
/var/spool/
- 查找异常文件
find / -name *.php
-type f //文件
-type d //文件夹
- 检查日志文件
/var/log
cat test.log | more | less
按/ 进行查找
- 打开日志文件
head -5 file //显示前5行
tail -5 file //显示后5行
- 查看进程cpu使用率
top
第一行,任务队列信息,同 uptime 命令的执行结果
第二行,Tasks — 任务(进程)
第三行,cpu状态信息
第四行,内存状态
第五行,swap交换分区信息
第七行以下:各进程(任务)的状态监控
按数字1查看每一个cpu占用率
- 打包log文件
tar zcvf file.tar.gz dir
tar zxvf file.tar.gz
- t00ls大佬分享的技巧
1、定位有多少IP在爆破主机的root帐号:
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
定位有哪些IP在爆破:
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
爆破用户名字典是什么?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
2、登录成功的IP有哪些:
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
登录成功的日期、用户名、IP:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
网友评论