1.查看用户信息文件
查看特权用户
cat /etc/passwd
# 查看用户信息文件
cat /etc/shadow
# 查看影子文件
awk -F: '$3==0{print $1}' /etc/passwd
cat /etc/passwd | grep x:0
# 查看系统是否还存在其他的特权账户,uid为0,默认系统只存在root一个特权账户
2. 查看当前登录用户,以及其登录ip。pts代表远程登录,tty代表本地登陆。
who
3.查看目前登入系统的用户,以及他们正在执行的程序。
w
4.查看现在的时间、系统开机时长、目前多少用户登录,系统在过去的1分钟、5分钟和15分钟内的平均负载。
uptime
5.查看密码文件上一次修改的时间,如果最近被修改过,那就可能存在问题。
stat /etc/passwd
6.查看除了不可登录以外的用户都有哪些,有没有新增的
cat /etc/passwd | grep -v nologin
7.查看能用bash shell登录的用户。
cat /etc/passwd | grep /bin/bash
8.让指定用户下线
# 查找用户开启进程
ps -u username
踢掉指定用户
pkill -KILL -u username2. 历史命令
很多的服务器会有存在多用户登陆情况,登陆root用户可查看其他用户的相关账户登录信息,.bash_history保存了用户的登陆所操作的命令信息。
1.查看历史命令
history
2.保存历史命令
cat .bash_history >>history.txt3. 端口查看端口开放和连接情况
netstat -pantu
2.如果发现可疑外联IP,即可根据对应PID查找其文件路径
ls -l /proc/pid/exe
4. 进程
1.查看进程
ps -aux
2.查看关联进程
ps -aux | grep pid
3.查看cpu占用率前十的进程
ps aux --sort=pcpu | head -10
5. 自启项
1.查看开机启动项
systemctl list-unit-files | grep enabled
6. 定时任务
1.查看定时任务
crontab -l
2.查看指定用户定时任务
crontab -u root -l
# 查看root用户任务计划
7. 进程监控
1.进程动态监控,默认根据cpu的占用情况进行排序的,按 b可根据内存使用情况排序。
top
2.监控指定程序
top -p pid3.静态监控
ps -ef8. host文件
1.查看host文件是否被篡改
cat /etc/hosts9. 登录日志
1.统计爆破主机root账号的失败次数及ip:
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more2.查看成功登录的日期、用户名、IP:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'10. 命令状态
1.查看命名修改时间,防止被替换
stat /bin/netstat