前言

在进行应急响应时，我们首先需要对系统进行一个全面的排查，发现可能存在问题的点，如是否存在恶意进程，恶意文件等。上篇文章说了win下手工排查时常用的系统命令，本篇文章来看一下linux下常见的应急排查。

由于本人水平有限，文章中可能会出现一些错误，欢迎各位大佬指正，感激不尽。如果有什么好的想法也欢迎交流~~

应急系列文章

应急响应概述

应急响应 | win常见应急排查

系统排查

1）查看CPU信息：lscpu

通过lscpu命令可以查找cpu的信息

2）操作系统信息

uname -a

cat /proc/version

3）模块信息

lsmod

用户信息排查

1）查看所有用户的信息 cat /etc/passwd

查看系统所有用户信息可以在命令行中输入【cat/etc/passwd】命令，后续各项由冒号隔开，分别表示“用户名”“密码加密”“用户ID”“用户组ID”“注释”“用户主目录”“默认登录shell”。查询的用户信息中，最后显示“bin/bash”的，表示账户状态为可登录；显示“sbin/nologin”的，表示账户状态为不可登录

2）查找超级账号

linux账号中药特别关注root权限的账号，也就是UID/GID为0的账号。如果出现了除root以外的UID为0的可登录账号，要重点排查

awk -F: '{if ($3==0) print $1}' '/etc/passwd'

3）可登录账号分析

除了root账号以外，可登录账号也要重点关注

cat /etc/passwd |grep /bin/bash

4）查看用户错误的登录信息

lastb

可查看用户错误的登录列表，包括错误的登录方法、IP地址、时间等）

更详细的登录错误信息，可以到/var/log/secure日志中查看

5）查看所有用户最后的登录信息

lastlog

查看系统重所有用户最后的登录信息