当前位置: 首页 > news >正文

应急排查方法

1、windows排查命令:

检查浏览器下载目录
dir "%USERPROFILE%\Downloads" /a /o:-d
检查临时目录
dir %TEMP% /a /o:-d
dir %SYSTEMROOT%\Temp /a /o:-d
查看最近访问的文件
dir %USERPROFILE%\Recent /a /o:-d
检查启动信息
wmic startup get command,caption
:: 2. 检查计划任务
schtasks /query /fo LIST /v:: 3. 检查启动文件夹
dir "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"
dir "%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup":: 4. 检查服务(关注非标准服务和最近创建的服务)
wmic service list brief
wmic service get name,displayname,pathname,startmode | findstr /i "auto"

进程与网络
:: 1. 查看所有网络连接及对应进程
netstat -ano | findstr "ESTABLISHED LISTENING"

:: 2. 根据 PID 查进程信息
tasklist /FI "PID eq <PID>" /V
wmic process where processid=<PID> get name,executablepath,commandline

:: 3. 检查可疑进程
tasklist /V
wmic process get name,processid,executablepath,commandline /format:list

:: 4. 查看网络代理配置(是否被篡改)
REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"

:: 5. 查看路由表
route print

启动项与服务
:: 1. 检查注册表启动项
REG QUERY "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
REG QUERY "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
REG QUERY "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce"
REG QUERY "HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run"

:: 1. 查看当前登录会话
query user

:: 2. 列出所有用户和管理员组成员
net user
net localgroup administrators

:: 3. 检查隐藏/克隆账户
:: 隐藏账户名末尾带 $
wmic useraccount list full
:: 对比注册表 SAM 与 net user 结果
:: HKLM\SAM\SAM\Domains\Account\Users(需 SYSTEM 权限)

:: 4. 踢出可疑会话
logoff <SessionID>

2、Linux 应急排查

# 1. 查找特权用户(uid=0 应该只有 root)
awk -F: '$3==0{print $1}' /etc/passwd# 2. 查找可远程登录的账户(有密码 hash 的账户)
awk '/\$1|\$6/{print $1}' /etc/shadow# 3. 检查 sudo 权限异常(非管理员不应有 ALL 权限)
grep -v "^#\|^$" /etc/sudoers | grep "ALL=(ALL)"
cat /etc/sudoers.d/*# 4. 检查 SSH 授权密钥(攻击者常植入公钥)
find / -name "authorized_keys" -exec ls -la {} \; -exec cat {} \;# 5. 查看最近登录记录
lastlog           # 所有用户最后登录时间
last              # 历史登录/注销记录
lastb             # 失败登录记录(暴力破解痕迹)进程与网络
# 1. 检查异常网络连接(重点关注 ESTABLISHED 和 LISTEN)
netstat -antlp | grep -E "ESTABLISHED|LISTEN"
# 或
ss -antlp# 2. 根据可疑连接 PID 定位进程
ls -la /proc/<PID>/exe        # 进程对应的可执行文件
cat /proc/<PID>/cmdline       # 完整命令行
ls -la /proc/<PID>/fd         # 打开的文件描述符# 3. 检查异常进程
ps aux --sort=-%cpu | head -20    # CPU 占用排序(挖矿检测)
ps aux --sort=-%mem | head -20    # 内存占用排序# 4. 检查隐藏进程(进程名以 . 开头或伪装为内核线程)
ps -ef | grep -E "^\S+\s+\d+.*\[.*\]" | grep -v "\[kworker"启动项与计划任务
# 1. 检查 crontab(所有用户)
for user in $(cut -f1 -d: /etc/passwd); docrontab -l -u $user 2>/dev/null && echo "=== $user ==="
done
cat /etc/crontab
ls -la /etc/cron.d/ /etc/cron.daily/ /etc/cron.hourly/ /etc/cron.monthly/ /etc/cron.weekly/# 2. 检查 systemd 服务(关注非官方和最近修改的)
systemctl list-unit-files --type=service | grep enabled
find /etc/systemd/system/ /usr/lib/systemd/system/ -name "*.service" -mtime -7# 3. 检查 rc.local 和 init.d
cat /etc/rc.local
ls -la /etc/init.d/
ls -la /etc/rc.d/rc*.d/ 2>/dev/null# 4. 检查 bashrc/profile 植入
grep -r "curl\|wget\|python\|bash -i\|/dev/tcp" /etc/profile* /etc/bashrc /root/.bashrc /home/*/.bashrc 2>/dev/null文件系统排查
# 1. 查找最近修改的文件(以 3 天为例,根据事件时间调整)
find / -mtime -3 -type f -not -path "/proc/*" -not -path "/sys/*" | head -100# 2. 查找 SUID/SGID 文件(提权后门常见手段)
find / -perm -4000 -type f 2>/dev/null
find / -perm -2000 -type f 2>/dev/null# 3. 检查 /tmp 及隐藏目录
ls -la /tmp/ /var/tmp/ /dev/shm/
find / -name ".. " -o -name "..." -o -name ".hidden" 2>/dev/null# 4. WebShell 检测(Web 服务器目录)
find /var/www/ -name "*.php" -mtime -7
grep -rl "eval\|system\|exec\|passthru\|shell_exec\|base64_decode" /var/www/ 2>/dev/null# 5. 检查文件时间戳篡改(mtime 与 ctime 不一致)
stat <可疑文件>   # 对比 Modify 和 Change 时间日志分析
日志文件                                                            用途                                查看方式
/var/log/auth.log 或 /var/log/secure    SSH 登录、sudo、su    grep "Accepted|Failed" /var/log/auth.log
/var/log/wtmp                                                    登录/注销记录                last -f /var/log/wtmp
/var/log/btmp                                                    失败登录                        lastb -f /var/log/btmp
/var/log/cron                                                    定时任务执行记录        cat /var/log/cron
/var/log/messages 或 /var/log/syslog    系统事件                        grep -i "error|warning|fail" /var/log/messages
~/.bash_history                                                命令历史                        cat /root/.bash_history# 暴力破解检测:统计失败登录 IP
grep "Failed password" /var/log/auth.log | awk '{print $(NF-3)}' | sort | uniq -c | sort -rn | head -20# 成功登录排查:关注非常规 IP 和时段
grep "Accepted" /var/log/auth.log | awk '{print $1,$2,$3,$9,$11}'# 提权行为检测
grep "sudo:" /var/log/auth.log | grep -v "session opened\|session closed"Rootkit 检测
# 方法 1: chkrootkit
apt install chkrootkit -y   # 或 yum install chkrootkit
chkrootkit# 方法 2: rkhunter
apt install rkhunter -y     # 或 yum install rkhunter
rkhunter --update
rkhunter --check --sk# 方法 3: 手动检查(工具不可信时)
# 比较系统命令 hash(与已知干净环境对比)
md5sum /usr/bin/ps /usr/bin/netstat /usr/bin/ls /usr/bin/find /usr/bin/top
# 检查 LD_PRELOAD 劫持
echo $LD_PRELOAD
cat /etc/ld.so.preload
# 检查内核模块
lsmod | grep -v "^Module"

3、相关工具:

D盾webshell查杀

 

http://www.jsqmd.com/news/1162188/

相关文章:

  • 2026鹰潭本地认可 5 家土壤检测机构实地测评汇总 TOP5 重金属 + 养分 pH + 污染风险监测 附电话地址 - 中安检测集团
  • 为什么选择Phoenix.PubSub?对比其他分布式PubSub系统的10大优势分析
  • Requests-Scala vs 其他Scala HTTP客户端:为什么选择它?终极对比指南
  • AI 编程总结
  • 2026盐城本地认可 5 家金银铜铁铅锌矿石检测机构实地测评汇总 TOP5 品位鉴定 + 元素分析 + 贵金属含量检测 附电话地址 - 鉴安检测
  • 2026年7月 | 冷库安装厂家哪家值得推荐:行业排行梳理 - 互联网科技品牌测评
  • Next.js WordPress Starter实战:从零开始构建高性能博客系统
  • 2026佛山精装房改造公司大比拼:5家热门品牌横向对比益鸟美居局改焕新专家优势明显 - 优企甄选
  • 大模型应用开发中的幻觉检测与缓解策略研究
  • 无锡闲置 Gucci 别乱卖,拆解回收虚报高价的全套猫腻 - 全城热点
  • API集成实战:如何快速在Web应用中集成freegeoip地理位置服务
  • Markdown Emoji 3 种插入方法对比:复制、代码、快捷键的效率实测
  • 20周年信仰装备+超人气UP助阵,BW 2026 ROG带你玩出骄傲!
  • 数字电路上拉与下拉电阻配置及DTH-08模块应用
  • The Deck游戏状态管理:Redux在Flutter游戏中的终极指南 [特殊字符]
  • 2026枣庄本地认可 5 家环境现状监测环评检测机构实地测评汇总 废气废水 + 土壤噪声 + 竣工验收监测 附电话地址 - 中检检测集团
  • 西藏昌都汽车贴膜连锁门店精选推荐,贴隐形车衣、车窗膜门店哪家好,汽车贴膜门店挑选必看! - 汽车新知百晓生
  • 2026郑州本地认可 5 家金银铜铁铅锌矿石检测机构实地测评汇总 TOP5 品位鉴定 + 元素分析 + 贵金属含量检测 附电话地址 - 鉴安检测
  • Qlever开发者指南:从源码编译到贡献代码的完整路径
  • 2026年重庆环保墙板怎么选?5家实测对比与避坑推荐 - 中国品牌企业推荐网
  • 成都公办职高怎么选?5家主流中职校对口升学率与管理实测对比 - 中国华商产业观察网
  • NapMem技术:基于长期记忆的智能体自主导航与动作空间重构
  • 终极Visual C++运行库一站式解决方案:告别“缺少DLL“错误的完整指南
  • Linux Shell 结构化命令及更多的命令指令
  • TLA2518与PIC18F4680高精度ADC系统设计指南
  • 手机MP4视频转换步骤详解,2026年免费攻略 - 软件工具教程方法
  • Thymeleaf Layout Dialect与Thymeleaf 3.x集成教程:提升前端开发效率的10个技巧
  • 如何用Python调用lungmask API进行批量肺部CT分割:完整指南与实用技巧
  • 未来展望:@babel/preset-modules如何融入Babel生态系统发展路线图
  • Bebas Neue字体终极指南:为什么这款开源标题字体能成为你的设计秘密武器?