目录
- 介绍
- 步骤
介绍
1、熟悉查看CPU信息、操作系统信息、用户信息、特殊权限账户、启动项和任务计划的排查命令
2、在进行受害主机排查时,首先要对主机系统进行基本排查,方便对受害主机有一个初步的了解。
3、利用lscpu和uname -a查看系统硬件软件基本信息;
针对passwd文件查看特权账户、无密码账户和可登录账户;
针对etc目录的启动项和crontab的计划任务排查;
步骤
利用命令lscpu查看CPU信息
利用命令uname -a查看系统版本信息
输入awk -F: '{if($3==0)print$1}' /etc/passwd查看特权账户,awk -F: '{if(length($2)==0)print$1}' /etc/passwd查看无密码登陆账号,cat /etc/passwd | grep '/bin'查看了登陆账号
利用命令last查看曾经crash的账户
查看etc目录,可以看到rc.local自启文件,cat查看
crontab -l查看计划任务
