首先展示关于Linux的关键目录，这是应急响应查看的关键：

常用命令

top   //查看进程资源的占用情况

ps -aux   //查看进程  直接写ps aux也可以

netstat -antpl   //查看网络连接

ls -alh /proc/pid   //查看某个pid对应的可执行程序 pid记得修改

lsof  //开放端口的进程

lastb  //显示错误的尝试登录信息

last  //显示系统用户最近的登录信息

lastlog   //所示所有的用户最近的登录信息

grep //查找符合条件的字符串 如netstat -antpl | grep 22

crontab -l   或  cat /etc/crontab    //查看相应的定时任务

history  或  cat ~/.bash_history   //查看历史命令

接下来学习到一些常见的应急工具需要学习使用：

chkrootkit  //linux下检查RootKit的脚本

河马Webshell查杀工具

Web日志分析：