Linux应急响应-系统排查

2.1.1 系统基本信息

1，cpu信息 lscpu

2，操作系统信息 uname -a

3，模块信息 lsmod

2.1.2 用户信息

1，查看系统所有用户信息 cat/etc/passwd

2，发现超级权限用户 awk -F: '{if($3==0)print $1}' /etc/passwd

命令拆解与功能说明

-F: 指定字段分隔符为冒号 :，用于解析 /etc/passwd 文件中的字段14。/etc/passwd 文件以 : 分隔用户信息，包含 7 个字段：用户名:密码占位符:UID:GID:描述:家目录:登录Shell34。 if($3==0) 条件判断：检查第三个字段（即 UID）是否等于 0。在 Linux 系统中，UID=0 表示超级用户（root）账户24。 print $1 若条件满足，则打印第一个字段（即用户名）。最终输出所有 UID=0 的账户名称

3，查看可以登录的用户 cat /etc/passwd |grep '/bin/bash'

/etc/passwd：存储所有用户的基本信息，每行对应一个用户账户24。

grep '/bin/bash'：筛选出使用 /bin/bash 作为登录 Shell 的用户，表示这些用户具有交互式登录权限56。

每行输出格式为：

username:password:UID:GID:comment:homedir:shell

字段含义：

字段名

说明

username

用户名（登录名），需唯一且不含冒号2。

password

密码占位符（x 表示实际密码存储在 /etc/shadow 中）45。

UID

用户唯一标识符。0 表示超级用户（root），1000+ 为普通用户2。

GID

主用户组标识符，对应 /etc/group 中的组2。

comment

用户描述信息（如真实姓名、联系方式等）4。

homedir

用户主目录路径（如 /home/username）6。

shell

用户登录时执行的 Shell 程序路径，/bin/bash 表示允许登录5。

4，查看错误登录信息 lastb

5，查看所有用户最后的登录信息 lastlog

6，查看用户最近登录信息 last

7，查看当前用户登录系统情况

8，查看空口令账户 awk -F: 'length($2)==0 {print$1}' /etc/passwd

2.1.3 启动项

1，查看init.d文件夹下面的的rc.loacl文件内容 cat /etc/init.d/rc.local

2，查看rc.loacl文件内容 cat /etc/rc.local

3，查看ini.d文件夹下所有文件详细信息 ls -alt /etc/init.d

2.1.4 计划任务

1，查看当前计划任务 crontab -l

指定用户查看 crontab -u root -l

2，查看etc文件夹下计划任务文件