Linux需要经常关注的目录
/etc/passwd用户信息文件:我们需要看一下里面到底是什么,保存的用户信息
/etc/rc.d/rc.loacl:开机启动项:类似于Windows的开机启动项,有可能攻击者会在里面写一个后门文件,需要重点查看
/root/.ssh:存放root用户ssh公钥和=私钥的地方,有可能攻击者攻击完生成一对公私钥加进去,他拿私钥就可以直接登陆,
/tmp:系统或者用户临时文件的目录,一些传统的黑产黑客组织会利用批量化的脚本,不同的操作系统要做到兼容适配,就会去找公共目录,就是别的版本也有的目录,下载就很方便,就不需要去考虑目录的问题,一些自动化的东西她都会存在在公共目录里面。
/etc/hosts:本地ip地址,域名解析文件,攻击者拿到本地权限之后,想去阻拦一些杀毒软件,外联的杀毒引擎,都在这个目录下面把域名解析到本地,杀毒软件引擎就更新不了,
/etc/init.d/:开机启动项,和上面的比较相似,但是下面有local这个目录,有不同的用户启动级别,我们只需要观察当前用户启动模式是哪一个,然后那个模式下启动文件,通用性配置文件,也要关注一下有没有恶意的启动脚本,
#常用命令
查询当前目录下面的所有文件并且排序 ls -alt
一些攻击者可能会创造一个隐藏的攻击文件夹,配置攻击文件信息,所以加上-alt,
查询系统内存使用情况 free -h
Linux里面挖矿也是很多的,我们要去查一下进程占用率和内存使用率,上面这种可能是文件的限制。
查看系统及子进程:ps auxf
top 两个命令
auxf是我可以展示她的子进程,可以看到ssh用户下面的子进程是哪个,都在干嘛,现在用户的pid是多少,1178pid下面都有那些子进程,可以看到主进程下面调用了那些子进程,子进程的pid是多少。
top命令也可以看到子进程,但是看不到关联性,比如那个进程下面那个子进程,看不到,但是可以看到cpu占用率,两个命令相互结合来看。如果说中了挖矿看cpu占用率基本上可以确定挖矿进程,
