网络排查命令
说明:挖矿病毒避免不了要跟主机通信
1. 列出本机所有的连接和监听的端口,查看有没有非法连接(netstat)
netstat 命令用来打印Linux中网络系统的状态信息。
常用参数:
- -a或–all:显示所有连线中的Socket。
- -c或–continuous:持续列出网络状态。
- -i或–interfaces:显示网络界面信息表单。
- l或–listening:显示监控中的服务器的Socket。
- -n或–numeric:直接使用ip地址,而不通过域名服务器。
- -t或–tcp:显示TCP传输协议的连线状况。
- -u或–udp:显示UDP传输协议的连线状况。
命令:
netstat -lntp
2. 查看谁在使用某个端口(lsof)
lsof 命令用于查看你进程开打的文件,打开文件的进程,进程打开的端口(TCP、UDP)。
常用参数:
- -g:列出GID号进程详情;
- -d<文件号>:列出占用该文件号的进程;
- -i<条件>:列出符合条件的进程。(4、6、协议、:端口、 @ip )
- -p<进程号>:列出指定进程号所打开的文件;
- -u:列出UID号进程详情;
命令:
lsof -i :22 # 看看谁在使用22端口
3. 查看多个进程号对应的文件信息(lsof)
命令:
lsof -p 2,3 # 使用逗号分隔
4. 查看所有tcp网络连接信息(lsof)
命令:
lsof -i tcp
5. 查看所有udp网络连接信息(lsof)
命令:
lsof -i udp
文件排查命令
说明:服务器被入侵后,攻击者基本上都需要修改一些文件来维持脚本的
运行
1. 查看所有文件,包括隐藏的文件(ls)
ls 命令用来显示目标列表,不同类型的文件颜色也不同
常用参数:
- -a:显示所有文件及目录,包括隐藏文件
- -l:以长格式显示目录下的内容列表。
- -t:用文件和目录的更改时间排序
命令:
ls -la
2. 查看文件路径(whereis)
命令:
whereis filename
3. 查看文件创建时间(ls)
命令:
ls -al filname
4. 查找最近24小时内修改过的文件(find)
命令:
find ./ -mtime 0
find 命令用来在指定目录下查找文件。
参数 -mtime n 按照文件的更改时间来找文件,n为整数。
例:
- -mtime 0 表示文件修改时间距离当前为0天的文件,即距离当前时间
不到1天(24小时)以内的文件。
- -mtime 1 表示文件修改时间距离当前为1天的文件,即距离当前时间
1天(24小时-48小时)的文件。
- -mtime+1 表示文件修改时间为大于1天的文件,即距离当前时间2天
(48小时)之外的文件
- -mtime -1 表示文件修改时间为小于1天的文件,即距离当前时间1天
(24小时)之内的文件
5. 查找以.txt结尾的文件名(find)
命令:
find / -name "*.txt"
忽略大小写,命令:
find / -iname "*.txt"
6. 查找不是以.txt结尾的文件(find)
命令:
find / ! -name "*.txt"
