Linux入侵应急响应与排查_ps eho command -p

入侵者在入侵成功后，往往会留下后门以便再次访问被入侵的系统， 而创建系统账号是一种比较常见的后门方式。

查询特权用户特权用户(uid 为0)

awk -F: '$3==0{print $1}' /etc/passwd

查找远程可以登录的账户

awk '/\$1|\$5|\$6/{print $1}' /etc/shadow

• $1：MD5（长度 22个字符）

• $5：SHA-256（长度 43 个字符）

• $6：SHA-512（长度86 个字符）

检查sudo权限

cat /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL"

删除或锁定账号

通过上面的步骤可以找到可疑的账号

usermod -L rooot #禁用帐号，帐号无法登录
userdel rooot    #删除user用户

userdel -r rooot #将删除root用户，并且将/home目录下的root目录一并删除

查看当前登录系统的信息

who    #查看当前登录用户（tty本地登陆  pts远程登录）
w      #查看系统信息，想知道某一时刻用户的行为

uptime #查看登陆多久、多少用户，负载

检查异常端口

使用netstat 网络