应急响应基础流程

# Linux

# 关键目录

1
2
3
4
5
6
7
8
9
10
11

/etc/passwd              用户信息文件 
/etc/crontab             定时任务文件 
/etc/anacrontab          异步定时文件 
/etc/rc.d/rc.local       开机启动项 
/var/log/btmp            登录失败日志，使用 lastb 查看 
/var/log/cron            定时任务执行日志 
/var/log/lastlog         所有用户登录信息，使用 lastlog 查看 
/var/log/secure          验证、授权等日志 
/var/log/wtmp            包含用户登录日志，使用 last 命令查看 
/var/log/utmp            当前登陆系统的用户信息，使用 last 查看 

# 常用命令

1. 检查异常别名：alias

2. 检查计划任务：
   cat /var/spool/cron/crontabs/*
   crontab -l

3. 查看创建时间：stat

4. 检查网络连接：netstat -antpl

5. 检查后门账号：cat /etc/passwd

6. 检查进程：top, ps -aux

7. 检查 gpu：nvidia-smi

8. 根据 pid 查看对应可执行程序： ls -alh /proc/pid

9. 开放端口进程： lsof -i:5678

10. 查看历史命令：history，cat ~/.bash_history

11. 查看当前目录下所有文件并排序：ls -alt

12. 校验 RPM 软件包：rpm -Va，dpkg -verify

13. 查看系统服务：service --status-all

# Windows

1. 查看系统进程：tasklist

2. 查看网络情况：netstat -ant

3. 查看计划任务：任务计划程序

4. 任务管理器查看进程和服务

5. 检查注册表

6. 安全工具检测