/etc/passwd文件存储了系统上的所有用户信息，每一行代表一个用户账号。每行的格式如下：

account:password:UID:GID:GECOS:directory:shell

• account: 用户名

• password: 用户密码的占位符（实际密码加密后存储在/etc/shadow）

• UID: 用户ID，0表示root用户

• GID: 主组ID

• GECOS: 用户全名或描述信息

• directory: 用户家目录

• shell: 用户登录后使用的shell

查看特定用户：

• 查看可登录用户（使用bash shell）：

grep '/bin/bash' /etc/passwd

或者使用awk：

awk -F: '$NF=="/bin/bash" {print $1}' /etc/passwd

• 查看UID为0的用户（root用户）：

awk -F: '$3==0 {print $1}' /etc/passwd

/etc/shadow文件存储了加密的用户密码和其他密码相关信息。每一行对应/etc/passwd中的一个用户。

查看特定用户密码状态：

• 禁用账号时，/etc/shadow中的密码字段以!开头。

• who: 显示当前登录系统的用户。

• w: 显示已登录用户及其活动。

• uptime: 显示系统运行时间、用户数及负载。

• 查看最近登录成功的用户及信息

last: 显示最近登录成功的用户列表，包括登录时间、登录终端（tty或pts）、IP地址（如果可用）等信息。该命令读取/var/log/wtmp文件。

• 查看最近登录失败的用户及信息

sudo lastb: 显示最近登录失败的用户列表。该命令读取/var/log/btmp文件，这个文件通常包含登录失败尝试的信息。

• 显示所有用户最近一次登录信息

lastlog: 显示所有用户最近一次登录系统的时间。信息存储在/var/log/lastlog文件中，按照用户ID（UID）排序。

• 查看当前登录的用户

users: 列出当前登录到系统的所有用户。

• 注意：如果/var/log/wtmp文件被删除或清空，last命令将无法提供有用的信息。为了避免这种情况，可以使用chattr命令为文件添加+a属性，使文件只能追加数据而不能被删除或修改。但是，请注意，这并不能完全防止恶意用户修改系统，只是增加了他们的难度。

注意：

• 如果/var/log/wtmp被删除或清空，last命令将无法提供有用的信息。可以使用chattr +a /var/log/wtmp来防止文件被删除。

• 创建用户：

useradd admin     # 创建用户但不创建家目录    
adduser admin2    # 创建用户并创建家目录（推荐使用）

• 修改密码：

passwd admin

• 禁用账号：

usermod -L user

• 删除账号：

userdel -r user   # 删除用户及其家目录

注意：在删除用户之前，确保您已备份了任何重要数据。

/etc/sudoers文件定义了哪些用户可以使用sudo命令。要查看具有sudo权限的用户，可以使用：

grep -E '^(root|[^:#%]\S+)\s+ALL=(ALL:ALL) ALL' /etc/sudoers

这条命令会列出所有具有完全sudo权限的用户（包括root）。

• 每个用户都可以在/var/spool/cron/{user}目录下管理自己的计划任务。

• 使用crontab -l命令可以列出当前用户的所有计划任务。

• 使用crontab -e命令可以编辑当前用户的计划任务。

• 使用crontab -r命令可以删除当前用户的所有计划任务。

• 如果需要查看其他用户的计划任务，可以使用crontab -u {username} -l命令（这需要适当的权限）。

• /etc/crontab文件是系统级别的计划任务文件，只有root用户才能修改。

• /etc/cron.d/目录下可以放置额外的系统计划任务文件，这些文件的格式与/etc/crontab相同。

• 将脚本放在/etc/cron.hourly/、/etc/cron.daily/、/etc/cron.weekly/和/etc/cron.monthly/目录中，可以确保这些脚本分别在每小时、每天、每周和每月自动执行。

• 使用service cron status（或systemctl status cron，取决于系统）可以查看cron服务的状态。

• /var/log/cron*日志文件包含了cron执行的命令记录和其他相关信息，可以用来排查问题。

• 使用ls -al /var/spool/cron/可以查看/var/spool/cron/目录下的所有文件，包括可能的隐藏计划任务。

• 使用more /etc/cron.daily/*可以查看/etc/cron.daily/目录下所有文件的内容。

• 使用cat /var/log/cron*可以查看crontab的日志文件，以确定计划任务的编辑时间和执行情况。

在进行系统安全入侵排查时，应重点关注以下目录和文件是否存在恶意脚本：

• /var/spool/cron/*

• /etc/crontab

• /etc/cron.d/*

• /etc/cron.daily/*

• /etc/cron.hourly/*

• /etc/cron.monthly/*

• /etc/cron.weekly/*

• /etc/anacrontab

• /var/spool/anacron/*

通过检查这些目录和文件，可以发现并移除任何潜在的恶意计划任务，从而提高系统的安全性。

四、开机启动项排查

**1、**系统运行级别

**2、**查看运行级别

在SysV init系统中，可以使用runlevel命令来查看当前和之前的运行级别。但在systemd系统中，你可能需要查看/etc/systemd/system/default.target或运行systemctl get-default来获取默认目标。

**3、**开机启动配置文件

1. /etc/rc.local：这是一个在系统启动时可以执行的脚本文件。你可以在此文件的exit 0之前添加你的启动命令。

2. /etc/rc[0-6].d/：在SysV init系统中，这些目录包含启动和停止服务的符号链接。但在systemd系统中，你应该关注/lib/systemd/system/和/etc/systemd/system/目录中的.service文件。

**4、**开机执行脚本的方法

1. 使用/etc/rc.local：
   在/etc/rc.local的exit 0之前添加你的启动命令。确保你的脚本具有可执行权限。

2. 使用update-rc.d（SysV init）：
   如果你的系统使用SysV init，你可以将你的脚本放在/etc/init.d/目录下，并使用update-rc.d命令来创建启动和停止链接。例如：

sudo ln -s /path/to/your/script /etc/init.d/yourscript    
sudo update-rc.d yourscript defaults 99

1. 使用systemd（现代Linux发行版）：

   创建一个新的.service文件在/etc/systemd/system/目录下，并使用systemctl命令来管理它。例如：

sudo nano /etc/systemd/system/yourscript.service

在文件中添加类似以下内容：

\[Unit\]    
Description=My Custom Startup Script    
After=network.target    
\[Service\]    
ExecStart=/path/to/your/script    
\[Install\]    
WantedBy=multi-user.target

然后启用并启动你的服务：

sudo systemctl enable yourscript.service    
sudo systemctl start yourscript.service

5、入侵排查

当进行入侵排查时，你应该关注以下文件和目录：

1. 查看开机启动项内容：ls -alt /etc/init.d/

2. 查看开机启动项文件：

   more /etc/rc.local：查看/etc/rc.local文件的内容。

   ll /etc | grep rc：列出/etc/目录下与“rc”相关的文件和目录。

   ls -l /etc/rc[0-6].d/：在SysV init系统中，查看启动和停止服务的链接。

3. 检测开机自启动项列表：systemctl list-unit-files | grep enabled

请注意，不同的Linux发行版可能会有细微的差异，但上述信息应该适用于大多数基于Debian或Red Hat的发行版。

进程排查

1. 使用top命令查看系统状态

• top 命令是一个实时监控系统性能的工具，它显示了当前系统中运行的进程、CPU使用率、内存使用等信息。在挖矿应急响应中，top 命令非常有用，因为挖矿病毒通常会占用大量的CPU资源。

1. 使用ps命令查看进程信息

• ps 命令提供了有关当前系统进程的详细信息。以下是一些常用的参数：

• -a：显示所有用户的进程（包括其他终端）

• -e：显示所有进程

• -f：全格式显示，包括UID、PPID、C、STIME等

• 可以通过管道符 | 结合 grep 命令来过滤特定进程，例如 ps -ef | grep sshd 查找所有与sshd相关的进程。

1. 查看非root用户运行的进程

• ps -U <用户名> -u <用户名> -N 可以用来查看特定非root用户运行的进程。-U 和 -u 分别指定实际用户ID和有效用户ID，-N 选项表示不显示与终端关联的进程。

1. 查看root用户运行的进程

• 使用 ps -u root 命令可以查看root用户当前运行的所有进程。

1. 查找可疑进程

• 可以使用 ps -aef | grep <关键字> 来查找包含特定关键字的进程。例如，如果你怀疑某个进程名称可能与恶意活动有关，可以使用这个命令来查找它。

1. 检测隐藏进程

• 隐藏进程通常涉及更高级的技术，如进程注入或利用内核模块。直接使用 ps 命令可能无法看到这些进程。但可以通过检查 /proc 文件系统或使用其他专业工具（如 chkrootkit、rkhunter）来检测。

• 您提供的命令 ps -ef | awk ‘{print}’ | sort -n | uniq >1 和 ls /proc | sort -n | uniq >2 并不直接用于检测隐藏进程。这些命令更像是试图列出并排序所有进程ID和/proc目录下的内容，但这不是检测隐藏进程的标准方法。

1. 检测系统守护进程

• 守护进程（Daemon）是在系统启动时启动并在后台运行的进程。/etc/crontab 是系统级的crontab文件，用于计划周期性执行的命令或脚本，但它不直接列出守护进程。

• 要查看系统守护进程，可以检查 /etc/init.d/、/etc/systemd/system/ 或 /lib/systemd/system/ 目录下的 .service 文件，或使用 systemctl list-units --type=service 命令（在systemd系统上）。

任务及用户活动排查命令

在服务器管理中，对任务和用户活动的排查是保障系统安全性的重要环节。以下是几种常见的命令和工具，用于检查系统的用户登录、命令历史以及进程关系。

1. 查看当前登录用户使用 who命令可以查看当前登录到系统的用户列表，包括是通过本地终端（tty）还是远程会话（pts）登录的。

who

1. 查看当前登录用户的IP信息通过 who命令的 -m选项，可以查看当前登录用户的IP地址（如果可用）和终端信息。

who -m

1. 查看近期用户登录情况使用 last命令可以查看过去一段时间内用户的登录情况，包括登录时间、登录终端和IP地址等。-n选项可以指定显示的记录数。

last -n 5

1. 查看历史命令
   对于当前用户，history命令可以显示之前执行过的命令列表。默认情况下，这个列表保存在用户家目录下的 .bash_history文件中。通过指定数字参数，可以查看最近的几条命令。

history 5

1. 查找空口令账号虽然现代系统通常不会使用空口令账号，但出于安全考虑，还是可以通过 awk命令检查 /etc/shadow文件（存储加密密码的文件）中是否存在空口令用户。但请注意，/etc/shadow文件通常只对root用户可读。

sudo awk -F: '($2=="")' /etc/shadow

如果没有找到空口令账号，则不会输出任何内容。

1. 查找UID为0的账号UID为0的账号是root账号，具有系统的最高权限。使用 awk命令可以查找 /etc/passwd文件中UID为0的用户。

awk -F: '($3==0)' /etc/passwd

1. **另一种查找UID为0的账号的方式（使用grep）**除了 awk，还可以使用 grep和 awk结合的方式来实现相同的功能。这里 -v -E "^#"是为了过滤掉以#开头的行（通常是注释行）。

grep -v -E "^#" /etc/passwd | awk -F: '$3==0{print $1}'

1. 查看进程树并判断父子关系
   pstree命令可以以树状图的形式显示进程及其父进程。-p选项可以在显示时包含进程的PID。

pstree -p

通过这个命令，可以轻松地查看是否有异常进程，并判断它们之间的父子关系。

请注意，在进行这些检查时，需要确保您有足够的权限来执行相关命令，特别是那些需要访问系统敏感文件（如 /etc/passwd 和 /etc/shadow）的命令。

网络端口排查命令

当涉及网络端口排查以检测挖矿病毒或其他恶意活动时，以下是使用不同命令和参数表达相同概念的几种方式：

1. 列出本机所有的连接和监听的端口，查看有没有非法连接

使用 netstat命令时，可以通过以下命令组合来查看所有TCP和UDP的监听端口和连接：

netstat -tuln

这里：

• -t显示TCP连接

• -u显示UDP连接

• -l显示监听状态的端口

• -n以数字形式显示地址和端口号，不进行DNS解析

1. 查看谁在使用某个端口

使用 lsof（注意，应该是 lsoft的一个常见错误或 lsof可能是一个拼写错误，正确的命令是 lsoft的别名 lsof或更常见的 lsof的替代品 lsoft，但通常我们使用 lsofp或 ss和 grep组合）或 ss和 grep组合来查找特定端口的进程：

使用 lsof（如果它存在）：

lsof -i :22

或者使用 ss和 grep：

ss -tulnp | grep :22

1. 查看多个进程号对应的文件信息

使用 lsof（如果它存在）时，可以使用 -p参数和逗号分隔的进程ID列表：

lsof -p 2,3

或者使用 fuser命令：

fuser -v /proc/2/fd/ /proc/3/fd/

注意：fuser显示使用指定文件或文件系统的进程。这里我们通过查看进程的文件描述符目录来间接地查看它们打开的文件。

1. 查看所有tcp网络连接信息

使用 lsof（如果它存在）：

lsof -i tcp

或者使用 ss：

ss -tuln | grep ESTAB

这里 ESTAB表示已建立的连接。

1. 查看所有udp网络连接信息

使用 lsof（如果它存在）：

lsof -i udp

或者使用 ss：

ss -uln

这里 -u表示UDP连接。

请注意，根据你的系统和已安装的工具，上述命令中的某些可能不可用。例如，lsof 可能不是标准命令，你可能需要使用 lsof 的正确替代品（如 lsoft、fuser、netstat、ss 等）。

文件排查命令

1. 查看所有文件，包括隐藏的文件

使用 ls命令结合 -la参数可以列出目录中的所有文件和文件夹，包括隐藏的文件和文件夹（以 .开头的文件或文件夹）。

命令：

ls -la

1. 查看文件路径

当你知道某个文件的名称但不确定其完整路径时，可以使用 whereis命令来查找。但请注意，whereis主要用于查找二进制文件、源代码文件和man手册页，并不总是能找到所有类型的文件。对于普通文件，你可能需要使用 find命令。

命令：

whereis filename    
# 或者使用 find 命令查找文件路径    
find / -name "filename" 2>/dev/null

1. 查看文件创建时间

ls命令结合 -l和 -c参数可以查看文件的创建时间（如果文件系统支持的话）。但请注意，并非所有文件系统都保存了文件的创建时间，例如 ext4 默认只保存了修改时间和访问时间。

命令：

ls -lc filename    
# 如果没有创建时间，你可能需要查看修改时间    
ls -l filename

1. 查找最近24小时内修改过的文件

使用 find命令结合 -mtime参数可以基于文件的修改时间进行搜索。

命令：

find /path/to/search -type f -mtime -1

这里 -mtime -1表示在最近24小时内修改过的文件。

1. 查找以.txt结尾的文件名

find命令的 -name参数允许你基于文件名进行搜索。

命令：

find /path/to/search -type f -name "*.txt"

要忽略大小写，使用 -iname参数。

1. 查找不是以.txt结尾的文件

你可以通过逻辑非操作符 !来排除以 .txt结尾的文件。

命令：

find /path/to/search -type f ! -name "*.txt"

注意：

• 在使用 find命令时，请确保指定了正确的搜索路径（/path/to/search），以避免不必要的系统资源消耗。

• 在某些情况下，你可能需要结合使用多个参数和选项来精确地找到你需要的文件。

• 如果你的服务器非常大或文件数量非常多，这些命令可能会需要一些时间来完成。

• 在执行这些命令之前，最好先备份重要数据，以防万一

今天只要你给我的文章点赞，我自己多年整理的282G 网安学习资料免费共享给你们，网络安全学习传送门，可点击直达获取哦！

由于篇幅有限，各位直接点击嚯取哦：CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

本文转自 https://blog.csdn.net/fly_enum/article/details/142982227?spm=1001.2014.3001.5501，如有侵权，请联系删除。