网络攻防学习笔记 Day64

2.Linux 系统

对于 Linux 系统的主机排查，可以使用相关命令查看 CPU（中央处理器）信息、操作系统信息及模块信息等，初步了解主机情况。

1）系统信息工具

CPU 信息——【lscpu】 命令，可查看 CPU 相关信息，包括型号、主频、内核等信息；

操作系统信息——【uname-a】命令，可查看当前操作系统信息，【cat /proc/version】命令，可查看当前操作系统版本信息；

模块信息——【lsmod】命令，可查看所有已载入系统的模块信息。

2）用户信息

查看系统所有用户信息可以在命令行中输入【cat/etc/passwd】命令。

在命令行中输入【awk-F： '{if（3==0）print 1}'/etc/passwd】命令，可查询可登录账户 UID 为 0 的账户。

在命令行中输入【cat/etc/passwd|grep '/bin/bash'】命令，可查看可登录的账户。

在命令行中输入【lastb】命令，可查看显示用户错误的登录列表，包括错误的登录方法、IP 地址、时间等。

在命令行中输入【lastlog】命令，可查看系统中所有用户最后的登录信息。

在命令行中输入【last】命令，可查看用户最近登录信息（数据源为/var/log/wtmp、/var/log/btmp、/var/log/utmp），wtmp 存储登录成功的信息、btmp 存储登录失败的信息、utmp 存储当前正在登录的信息。

在命令行中输入【who】命令，可查看当前用户登录系统情况。

在命令行中输入【awk-F： 'length（2）==0 {print1}'/etc/shadow】命令，可查看是否存在空口令账户。

3）启动项

使用【cat/etc/init.d/rc.local】命令，可查看 init.d 文件夹下的 rc.local 文件内容。

使用【cat/etc/rc.local】命令，可查看 rc.local 文件内容。

使用【ls-alt/etc/init.d】命令，可查看 init.d 文件夹下所有文件的详细信息。

4）任务计划

在命令行中输入【crontab-l】命令，可查看当前的任务计划，也可以指定用户进行查看，如输入命令【crontab-u root-l】

查看 etc 目录下的所有任务计划文件就可以输入【ls/etc/cron*】命令。

通常，还有如下包含任务计划的文件夹，其中，*代表文件夹下所有文件：

/etc/crontab

/etc/cron.d/*

/etc/cron.daily/*

/etc/cron.hourly/*

/etc/cron.monthly/*

/etc/cron.weekly/

/etc/anacrontab