应急响应-主机安全之文件相关命令(Linux操作系统)

目录

  • 概述
  • 常用命令
  • file-探测给定文件的类型
    • 选项
    • 常用选项组合
  • stat-查看文件信息
  • find-不止查找文件
    • 选项
      • 测试
      • 操作
      • 常用选项
  • locate-比find好用的查找命令
    • 选项
    • 常用选项组合
  • chmod-修改文件权限
    • suid
    • sbit
  • chown、chgrp 修改文件所有者/所在组
  • umask-显示或设置创建文件的权限掩码
    • 常用选项
  • chattr-root也无法修改文件,防篡改
    • 选项
  • setfacl-设置文件访问控制列表,比chmod更细
    • 选项
  • getfacl-查看文件访问控制列表
    • 选项
  • diff-比较文件,找出不同
    • 选项
  • 应急常看目录
    • /proc-进程排查
    • /etc/-配置排查
      • passwd-用户密码(密码隐藏)
      • shadow-密码
      • gshadow-组的shadow
      • systemd-自启动系统服务
      • sudoers、sudoers.d-sudo配置
      • resolv.conf-dns服务器配置
      • hosts-域名ip映射
      • crontab、cron.d/*、cron.*/*-定时任务配置
      • hosts.deny、hosts.allow-对本机访问黑白名单
      • environment、profile、bashrc-环境变量
      • apt/sources.list、apt/source.d-Debian系仓库源
      • yum.repos.d/-RHEL系仓库源
    • /var/log/-日志排查
      • audit/audit.log-系统日志
      • cron-计划任务执行记录
      • maillog-邮件系统日志
      • messages-常见系统和服务错误信息
      • secure-系统安全日志,输入账户信息后登录情况
      • lastlog、btmp、wtmp、utmp-登录日志
      • dmesg-内核日志
      • boot-启动日志
    • /var/spool/cron-定时任务排查
  • 参考


概述

本文介绍一下主机安全中目录、文件相关的命令,一些常用命令不详细介绍,仅仅列出,主要介绍的是安全相关的命令,方便做排查和防御。最后列出应急常看的目录。

常用命令

  • 查看:cd、pwd、cat、more、less、head、tail、grep、du、df
  • 修改:mkdir、cp、mv、touch、tar、zip、unzip
  • 删除:rmdir、rm

file-探测给定文件的类型

选项

在这里插入图片描述

常用选项组合

file 直接后面加文件
在这里插入图片描述
-i 来查看MIME类型
在这里插入图片描述
-L 跟随链接
在这里插入图片描述

stat-查看文件信息

在这里插入图片描述

Access:atime,文件最后访问时间
Modify:mtime,文件最后修改时间
Change: ctime,文件最后状态(元数据,如所有者、位置、权限)改变时间

在这里插入图片描述
字段解释如下:

  • umask.txt:文件名或路径名,这里是文件名 umask.txt。
  • 0:设备编号(major device number),通常用于块设备或字符设备。
  • 0:inode号码,标识文件在文件系统中的唯一索引节点号。
  • 81a0:文件类型和权限标志,以八进制表示。在这里,81a0表示文件是普通文件,且具有特定的权限设置。
  • 0:硬链接数目,即指向同一索引节点的硬链接数量。
  • 0:文件所有者的用户ID(UID)。
  • fd01:文件所有者的组ID(GID)。
  • 394950:文件大小,以字节为单位。
  • 1:文件分配的块数,通常以 512 字节块为单位。
  • 0:文件存储在设备上的设备号码(device number),通常是磁盘分区的标识。
  • 1722245293:文件的最后访问时间(atime),UNIX时间戳格式,表示从1970年1月1日开始经过的秒数。
  • 1722245293:文件的最后修改时间(mtime),UNIX时间戳格式。
  • 1722245974:文件的最后状态改变时间(ctime),UNIX时间戳格式。
  • 0:block size,块大小,通常为文件系统的块大小。
  • 4096:文件系统IO块大小。

find-不止查找文件

 find [-H] [-L] [-P] [-D debugopts] [-Olevel] [path...] [expression]

path默认当前目录,expression默认-print
find 命令远比你想象的还要强大,后续suid提权时还会用到。

选项

主要是测试、操作、全局、位置选项,这里仅看两个。

测试

-amin<分钟>:查找在指定时间曾被存取过的文件或目录,单位以分钟计算;
-anewer<参考文件或目录>:查找其存取时间较指定文件或目录的存取时间更接近现在的文件或目录;
-atime<24小时数>:查找在指定时间曾被存取过的文件或目录,单位以24小时计算;
-cmin<分钟>:查找在指定时间之时被更改过的文件或目录;
-cnewer<参考文件或目录>查找其更改时间较指定文件或目录的更改时间更接近现在的文件或目录;
-ctime<24小时数>:查找在指定时间之时被更改的文件或目录,单位以24小时计算;
-empty:寻找文件大小为0 Byte的文件,或目录下没有任何子目录或文件的空目录;
-executable 匹配当前用户可执行的文件和可搜索的目录。
-false:将find指令的回传值皆设为False;
-fstype<文件系统类型>:只寻找该文件系统类型下的文件或目录;
-gid<群组识别码>:查找符合指定之群组识别码的文件或目录;
-group<群组名称>:查找符合指定之群组名称的文件或目录;
-ilname<范本样式>:此参数的效果和指定“-lname”参数类似,但忽略字符大小写的差别;
-iname<范本样式>:此参数的效果和指定“-name”参数类似,但忽略字符大小写的差别;
-inum<inode编号>:查找符合指定的inode编号的文件或目录;
-ipath<范本样式>:此参数的效果和指定“-path”参数类似,但忽略字符大小写的差别;
-iregex<范本样式>:此参数的效果和指定“-regexe”参数类似,但忽略字符大小写的差别;
-iwholename 模式参见`-ipath`。此选项的可移植性较`-ipath`差。
-links<连接数目>:查找符合指定的硬连接数目的文件或目录;
-lname<范本样式>:指定字符串作为寻找符号连接的范本样式;
-mmin<分钟>:查找在指定时间曾被更改过的文件或目录,单位以分钟计算;
-mtime<24小时数>:查找在指定时间曾被更改过的文件或目录,单位以24小时计算;
-name<范本样式>:指定字符串作为寻找文件或目录的范本样式;
-newer<参考文件或目录>:查找其更改时间较指定文件或目录的更改时间更接近现在的文件或目录;
-newerXY<引用>:如果正在考虑的文件的时间戳 X 比文件引用的时间戳 Y 更新则成功。
-nogroup:找出不属于本地主机群组识别码的文件或目录;
-nouser:找出不属于本地主机用户识别码的文件或目录;
-path<范本样式>:指定字符串作为寻找目录的范本样式;
-perm<权限数值>:查找符合指定的权限数值的文件或目录;
-readable:匹配当前用户可读的文件
-regex<范本样式>:指定字符串作为寻找文件或目录的范本样式;
-samefile 名称 文件与名称指向相同的 inode。
-size<文件大小>:查找符合指定的文件大小的文件;
-type<文件类型>:只寻找符合指定的文件类型的文件;
-uid<用户识别码>:查找符合指定的用户识别码的文件或目录;
-used<日数>:查找文件或目录被更改之后在指定时间曾被存取过的文件或目录,单位以日计算;
-user<拥有者名称>:查找符和指定的拥有者名称的文件或目录;
-writable:匹配当前用户可写入的文件。
-xtype<文件类型>:此参数的效果和指定“-type”参数类似,差别在于它针对符号连接检查。
-context<表达式>:仅限 SELinux。文件的安全上下文与全局模式匹配

操作

-delete 删除文件或目录。
-exec 执行命令
-execdir 在包含匹配文件的子目录中执行命令
-ok 执行命令前询问用户
-okdir 在包含匹配文件的子目录中执行命令前询问用户
-fls 创建文件并将结果写入文件
-fprint 将完整文件名打印到指定文件中

常用选项

查找目录下指定名称的文件

find . -name "*.txt" -o -name "*.pdf"

在这里插入图片描述

匹配路径或文件

find /usr/ -path "*local*"head -n 5

在这里插入图片描述

查询指定类型文件

find . -type f

在这里插入图片描述

参数列表:

  • f 普通文件
  • l 符号连接
  • d 目录
  • c 字符设备
  • b 块设备
  • s 套接字
  • p Fifo

深度限制

find . -maxdepth 3 -type f

在这里插入图片描述

根据时间查找

find . -type f -atime -7
  • 访问时间 (-atime/天,-amin/分钟):用户最近一次访问时间。
  • 修改时间 (-mtime/天,-mmin/分钟):文件最后一次修改时间。
  • 变化时间 (-ctime/天,-cmin/分钟):文件数据元(例如权限等)最后一次修改时间。
    在这里插入图片描述

根据文件大小查找
查到大于10k的文件

find . -type f -size +10k
  • b —— 块(512字节)
  • c —— 字节
  • w —— 字(2字节)
  • k —— 千字节
  • M —— 兆字节
  • G —— 吉字节

在这里插入图片描述

根据权限查找

find . -type f -perm 644

在这里插入图片描述
找出当前目录用户lady_killer拥有的所有文件

find . -type f -user lady_killer

在这里插入图片描述

否定参数
通过!来否定后面的参数,找出当前目录用户lady_killer拥有的所有文件,并且权限不是644

find . -type f -user lady_killer ! -perm 644

在这里插入图片描述
对找到的文件执行命令
对找到的文件,查看下前两行

find . -type f -user lady_killer ! -perm 644 -exec head -n 2 {} \;

在这里插入图片描述

locate-比find好用的查找命令

存在数据库里面,主打一个快

选项

在这里插入图片描述

常用选项组合

locate 查找相关文件
在这里插入图片描述
-i 忽略大小写

在这里插入图片描述
-r 正则匹配
在这里插入图片描述

chmod-修改文件权限

之前学linux基础时讲过,参考:kali-chmod修改权限

补充一下特殊权限:

  • suid:文件所有者权限执行
  • sgid:文件所属组权限执行
  • sbit:对目录来说,只有创建者和root能够重命名目录或删除这个目录下的文件或子目录

suid

给find添加suid权限

chmod u+s find

在这里插入图片描述
之后可以利用find在执行时或使用root权限来提权

find . -name suid.txt -exec cat /etc/shadow \;

在这里插入图片描述
可以看到lady_killer用户没有查看/etc/shadow的权限,通过find可以提权查看

可以用以下命令查找设置suid权限的二进制文件

find / -type f -perm /4000

sbit

一般tmp目录会设置Sticky Bit(粘着位)
在这里插入图片描述

chown、chgrp 修改文件所有者/所在组

参考:kali-chown修改文件所有者/所在组

umask-显示或设置创建文件的权限掩码

umask一般是0022或0002,目录就是减去对应权限,文件的话再去掉执行

0022 的作用:022 的八进制表示为 000010010,它表示在默认权限中关闭了组和其他用户的写权限。因此,新文件的默认权限将会是 rw-r–r–,新目录的默认权限是 rwxr-xr-x。

0002 的作用:002 的八进制表示为 000000010,它只关闭了其他用户的写权限。因此,新文件的默认权限将会是 rw-rw-r–,新目录的默认权限是 rwxrwxr-x。

常用选项

-p 查看当前掩码
在这里插入图片描述
直接加掩码是修改,-S是以符号的方式查看
在这里插入图片描述

chattr-root也无法修改文件,防篡改

选项

a:让文件或目录仅供附加用途;
c:将文件或目录压缩后存放;
d:将文件或目录排除在倾倒操作之外;
i:不得任意更动文件或目录;
s:保密性删除文件或目录;
S:即时更新文件或目录;
u:预防意外删除。

-R:递归处理,将指令目录下的所有文件及子目录一并处理;
-v<版本编号>:设置文件或目录版本;
-V:显示指令执行过程;
+<属性>:开启文件或目录的该项属性;
-<属性>:关闭文件或目录的该项属性;
=<属性>:指定文件或目录的该项属性。

chattr +i umask.txt

在这里插入图片描述
通过这个命令可以保护目录或文件不可修改,在应急过程中可以设置。

setfacl-设置文件访问控制列表,比chmod更细

选项

-m, --modify=acl: 修改文件的当前 ACL(s)
-M, --modify-file=file: 从文件中读取要修改的 ACL 条目
-x, --remove=acl: 从文件的 ACL(s) 中移除条目
-X, --remove-file=file: 从文件中读取要移除的 ACL 条目
-b, --remove-all: 移除所有扩展 ACL 条目
-k, --remove-default: 移除默认 ACL
–set=acl: 设置文件的 ACL(s),替换当前 ACL
–set-file=file: 从文件中读取要设置的 ACL 条目
–mask: 重新计算有效权限掩码
-n, --no-mask: 不重新计算有效权限掩码
–restore=file: 恢复 ACL(与 getfacl -R 的相反操作)
–test: 测试模式(不修改 ACL)
-v, --version: 打印版本信息并退出
-h, --help: 显示帮助文本

  • 选项-m和-x后边跟以acl规则。多条acl规则以逗号(,)隔开。选项-M和-X用来从文件或标准输入读取acl规则。
  • 选项–set和–set-file用来设置文件或目录的acl规则,先前的设定将被覆盖。
  • 选项-m(–modify)和-M(–modify-file)选项修改文件或目录的acl规则。
  • 选项-x(–remove)和-X(–remove-file)选项删除acl规则。

setfacl命令可以识别以下的规则格式:

[d[efault]:] [u[ser]:]uid [:perms]  指定用户的权限,文件所有者的权限(如果uid没有指定)。
[d[efault]:] g[roup]:gid [:perms]   指定群组的权限,文件所有群组的权限(如果gid未指定)
[d[efault]:] m[ask][:] [:perms]     有效权限掩码
[d[efault]:] o[ther] [:perms]       其他的权限

在这里插入图片描述
在文件permission的最后多了一个+号,当任何一个文件拥有了ACL_USER或者ACL_GROUP的值以后我们就可以称它为ACL文件,这个+号就是用来提示我们的。

getfacl-查看文件访问控制列表

选项

-a, --access: 仅显示文件访问控制列表
-d, --default: 仅显示默认访问控制列表
-c, --omit-header: 不显示注释头部
-e, --all-effective: 显示所有有效权限
-E, --no-effective: 不显示任何有效权限
-s, --skip-base: 跳过只有基本条目的文件
-R, --recursive: 递归进入子目录
-L, --logical: 逻辑遍历,跟随符号链接
-P, --physical: 物理遍历,不跟随符号链接
-t, --tabular: 使用表格式输出
-n, --numeric: 打印数值用户/组标识符
-p, --absolute-names: 在路径名中不去掉前导的 ‘/’
-v, --version: 打印版本信息并退出
-h, --help: 显示帮助文本

一般直接加文件就行了

getfacl ./suid.txt

diff-比较文件,找出不同

选项

-<行数>:指定要显示多少行的文本。此参数必须与-c或-u参数一并使用;
-a或--text:diff预设只会逐行比较文本文件;
-b或--ignore-space-change:不检查空格字符的不同;
-B或--ignore-blank-lines:不检查空白行;
-c:显示全部内容,并标出不同之处;
-C<行数>或--context<行数>:与执行“-c-<行数>”指令相同;
-d或--minimal:使用不同的演算法,以小的单位来做比较;
-D<巨集名称>或ifdef<巨集名称>:此参数的输出格式可用于前置处理器巨集;
-e或--ed:此参数的输出格式可用于ed的script文件;
-f或-forward-ed:输出的格式类似ed的script文件,但按照原来文件的顺序来显示不同处;
-H或--speed-large-files:比较大文件时,可加快速度;
-l<字符或字符串>或--ignore-matching-lines<字符或字符串>:若两个文件在某几行有所不同,而之际航同时都包含了选项中指定的字符或字符串,则不显示这两个文件的差异;
-i或--ignore-case:不检查大小写的不同;
-l或--paginate:将结果交由pr程序来分页;
-n或--rcs:将比较结果以RCS的格式来显示;
-N或--new-file:在比较目录时,若文件A仅出现在某个目录中,预设会显示:Only in目录,文件A 若使用-N参数,则diff会将文件A 与一个空白的文件比较;
-p:若比较的文件为C语言的程序码文件时,显示差异所在的函数名称;
-P或--unidirectional-new-file:与-N类似,但只有当第二个目录包含了第一个目录所没有的文件时,才会将这个文件与空白的文件做比较;
-q或--brief:仅显示有无差异,不显示详细的信息;
-r或--recursive:比较子目录中的文件;
-s或--report-identical-files:若没有发现任何差异,仍然显示信息;
-S<文件>或--starting-file<文件>:在比较目录时,从指定的文件开始比较;
-t或--expand-tabs:在输出时,将tab字符展开;
-T或--initial-tab:在每行前面加上tab字符以便对齐;
-u,-U<列数>或--unified=<列数>:以合并的方式来显示文件内容的不同;
-v或--version:显示版本信息;
-w或--ignore-all-space:忽略全部的空格字符;
-W<宽度>或--width<宽度>:在使用-y参数时,指定栏宽;
-x<文件名或目录>或--exclude<文件名或目录>:不比较选项中所指定的文件或目录;
-X<文件>或--exclude-from<文件>;您可以将文件或目录类型存成文本文件,然后在=<文件>中指定此文本文件;
-y或--side-by-side:以并列的方式显示文件的异同之处;
--help:显示帮助;
--left-column:在使用-y参数时,若两个文件某一行内容相同,则仅在左侧的栏位显示该行内容;
--suppress-common-lines:在使用-y参数时,仅显示不同之处。

直接比较两个文件

diff /etc/shadow /etc/shadow-

在这里插入图片描述
可以看到增加了test用户

上下文形式

diff -c /etc/shadow /etc/shadow-

在这里插入图片描述

diff -u /etc/shadow /etc/shadow-

在这里插入图片描述

应急常看目录

/proc-进程排查

pid目录
在这里插入图片描述
cmdline 执行的命令
在这里插入图片描述
cwd 启动进程时所处的目录
exe 进程依赖的软链接
在这里插入图片描述
environ 运行时的环境变量
在这里插入图片描述
fd 进程申请的所有文件描述符,包括普通文件,标准输入输出,管道,socket。
在这里插入图片描述

/etc/-配置排查

passwd-用户密码(密码隐藏)

cat /etc/passwd

在这里插入图片描述

  • root: 这是用户名,表示这是一个超级用户(root用户)的账号。在Unix和类Unix系统中,root是拥有系统上所有权限的特殊用户。
  • x: 这里通常是密码占位符。在过去,密码的加密形式存储在这里,但现代系统通常使用 /etc/shadow 文件来存储密码信息,而不是在 /etc/passwd 中存储。
  • 0: 这是用户ID(UID),也称为数字用户ID(UID)。在Unix系统中,root用户的UID通常为0。
  • 0: 这是组ID(GID),也称为数字组ID(GID)。在Unix系统中,root用户通常属于组ID为0的组,即超级用户组(通常称为root组)。
  • root: 这是用户的真实姓名或描述。
  • /root: 这是用户的家目录路径。对于root用户来说,通常是/root。
  • /bin/bash: 这是用户的默认shell程序。当root用户登录时,默认使用Bash作为交互式shell。

passwd- passwd最后一次修改前的备份

diff passwd passwd-

在这里插入图片描述

shadow-密码

cat /etc/shadow

在这里插入图片描述

  • root: 这是用户名,对应于 /etc/passwd 文件中的root用户。

  • $1$1AkgnRsNo$ngnWLhF8j5g4mZ6k1ZjAs/: 这部分是加密后的密码。在这个例子中,密码的加密形式是使用MD5算法加密的。具体来说:

    • 1 1 1 表示使用MD5算法进行加密。
    • AkgnRsNo 是所用盐(salt)的一部分,用于增加密码的随机性和安全性。
    • ngnWLhF8j5g4mZ6k1ZjAs/ 是经过MD5加密后的密码。
      实际的密码是经过盐和MD5算法处理后的结果,而不是直接可读的密码。
  • 19911: 这是密码最后修改日期(Epoch时间戳),表示自1970年1月1日以来的天数。这个字段指示密码最后一次被更改的时间。

  • 0: 这是密码需要重新更改的最短天数。如果为0,则表示没有最短时间限制。

  • 99999: 这是密码有效期的最长天数。在这个例子中,密码有效期为99999天,表示密码在不被强制修改的情况下可以使用很长时间。

  • 7: 这是密码到期前的警告天数。当密码到期前的天数少于等于7天时,系统会开始发送警告通知用户密码即将过期。

  • 空字段: 这些是未使用的字段,以前的Unix版本可能会在这些位置存储一些额外的信息,但在现代系统中通常是空的。

shadow- shadow最后一次修改前的备份

diff shadow shadow-

在这里插入图片描述

gshadow-组的shadow

同上,不再展示

systemd-自启动系统服务

system下是系统级自启服务
在这里插入图片描述

sudoers、sudoers.d-sudo配置

cat /etc/sudoers

在这里插入图片描述
用户规则

user host=(runas) command
  • root: 这是指定的用户或用户组。在这种情况下,指定了用户 root,也就是系统的超级用户。
  • ALL: 第一个 ALL 表示允许 root 用户在任何主机执行命令。这意味着 root 可以在任何主机上使用 sudo 执行命令,而不仅仅是本地主机。
  • (ALL): 第二个 ALL 表示允许 root 用户作为任何用户(即任何目标用户)执行命令。这允许 root 用户以系统上的任何其他用户的身份运行命令,而不仅仅是自己的身份。
  • ALL: 第三个 ALL 表示允许 root 用户在任何终端(任何终端设备)上执行命令。这表示 root 用户可以通过任何终端登录并使用 sudo。

组规则

%group host=(runas) command
  • %wheel:wheel组
  • NOPASSWD:sudo时不需要密码

resolv.conf-dns服务器配置

攻击者可能篡改这个dns服务器配置来劫持流量

cat /etc/resolv.conf

在这里插入图片描述

hosts-域名ip映射

域名解析ip,优先级更高

cat /etc/hosts

在这里插入图片描述

crontab、cron.d/、cron./*-定时任务配置

crontab在应急响应-主机安全之系统及进程排查相关命令(Linux操作系统-初级篇)中说过了

  • cron.deny 该文件中所列用户不允许使用crontab命令
  • cron.allow 该文件中所列用户允许使用crontab命令(可能没有此文件)
  • cron.hourly 每小时执行
  • cron.daily 每天执行
  • cron.weekly 每周执行
  • cron.monthly 每月执行
    在这里插入图片描述

除了这个系统定时任务,后面还有用户自定义的。

hosts.deny、hosts.allow-对本机访问黑白名单

在这里插入图片描述

environment、profile、bashrc-环境变量

  • /etc/environment:在系统启动时加载,设置全局环境变量
  • /etc/profile 是系统级的配置文件,它对系统上所有用户都有效。在用户登录时被读取。
  • ~/.profile 是用户级的配置文件,对每个用户来说都可以单独配置。在用户登录时被读取。
    这些文件通常用于设置全局的环境变量和执行与用户环境相关的初始化脚本。
  • ~/.bash_profile:用于Bash shell的登录shell配置文件,类似于 .profile,但仅在登录时加载一次。
  • .bashrc 是Bash shell的配置文件,用于每个用户的交互式非登录shell。这意味着它在用户每次新开一个终端窗口时都会加载,但不会在用户登录时加载。通常位于用户的家目录下,路径为 ~/.bashrc。
    .bashrc 文件用于定义个性化的shell行为、别名、函数以及其他与交互式shell相关的配置。
  • ~/.bash_login:另一个Bash shell的登录shell配置文件,类似于 .bash_profile,在登录时加载一次。
  • ~/.bash_logout:Bash shell的登录shell退出时加载的脚本,用于清理和设置环境。
cat /etc/profile

在这里插入图片描述

apt/sources.list、apt/source.d-Debian系仓库源

yum.repos.d/-RHEL系仓库源

在这里插入图片描述

/var/log/-日志排查

audit/audit.log-系统日志

audit.log 中记录了许多系统事件,包括:

  • 用户登录和退出的信息。
  • 文件和目录的创建、删除、修改等操作。
  • 系统调用的执行情况。
  • 网络活动,如连接和断开。
  • 权限更改,如用户切换到超级用户(su)的记录。

cron-计划任务执行记录

tail -n 10 /var/log/cron

在这里插入图片描述

maillog-邮件系统日志

cat /var/log/maillog

在这里插入图片描述

messages-常见系统和服务错误信息

tail -n 10 /var/log/messages

在这里插入图片描述

secure-系统安全日志,输入账户信息后登录情况

tail -n 10 /var/log/secure

在这里插入图片描述
常用于SSH爆破排查

lastlog、btmp、wtmp、utmp-登录日志

使用lastlog、lastb、last、who命令来查看,直接查看文件存在乱码等不方便的情况。

dmesg-内核日志

tail -n 30 dmesg

在这里插入图片描述

boot-启动日志

tail -n 10 boot.log

在这里插入图片描述

/var/spool/cron-定时任务排查

根据用户来查看

cat /var/spool/cron/root

这里以lady_killer用户为例
在这里插入图片描述

其他排查命令学习:
应急响应-主机安全之系统及进程排查相关命令(Linux操作系统-初级篇

参考

《网络安全应急响应技术实战指南》
/var/log下日志文件详解
linux提权大赏

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/393629.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

大模型备案全网最详细流程说明【附附件】

本文要点&#xff1a;大模型备案最详细说明&#xff0c;大模型备案条件有哪些&#xff0c;《算法安全自评估报告》模板&#xff0c;大模型算法备案&#xff0c;大模型上线备案&#xff0c;生成式人工智能(大语言模型)安全评估要点&#xff0c;网信办大模型备案。 大模型备案安…

python的多线程

python的threading模块&#xff0c;它提供了丰富的接口来创建和管理线程。 定义一个函数print_numbers&#xff0c;这个函数将由线程执行。在这个函数中&#xff0c;我们使用一个循环来打印数字&#xff0c;并使用time.sleep(1)来模拟每个数字打印之间有1秒的延迟。 在 if __…

win7系统利用定时启动+脚本实现MySQL文件自动备份

前言 最近接到项目&#xff0c;数据量不大但对运行数据的安全性要求极高&#xff0c;为避免因不可抗拒因素导致的数据丢失&#xff0c;选择机械硬盘作为数据存储盘&#xff0c;并使用脚本方式对文件进行备份 一、脚本 下面为自动备份文件的 脚本&#xff0c;可根据自身情况进…

OpenSBI设备树

设备树 在前一启动阶段跳转OpenSBI时&#xff0c;可以将设备树的地址通过参数a1传递过来。 OpenSBI相关的配置&#xff08;opensbi_config&#xff09;也可以添加到设备树节点中&#xff0c;OpenSBI执行时会解析和使用这些配置&#xff0c;并在启动结束时删除该节点&#xff…

只强的Java学习之路8-5

一.搭建mybatis pom.xml文件 <?xml version"1.0" encoding"UTF-8"?> <project xmlns"http://maven.apache.org/POM/4.0.0"xmlns:xsi"http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation"http://maven.a…

部署Springboot + Vue 项目到远程服务器Windows10系统的详细配置

远程服务器操作系统为Windows系统&#xff0c;Java程序环境&#xff0c;Maven环境都安装有&#xff0c;Mysql ,Redis等都有的前提下 1. mysql数据库导入&#xff0c;非常简单很好操作&#xff0c;这里省略。。比如用HeidiSql 或者Navicat 工具导入数据库 2. 后端javaSpringb…

高职物联网智慧农业实训室建设方案

一、项目概述 随着物联网技术的迅猛发展及其在农业领域的广泛应用&#xff0c;智慧农业已经成为推动农业现代化的关键力量。近年来&#xff0c;国家高度重视物联网技术在农业领域的应用与发展&#xff0c;出台了一系列相关政策支持智慧农业建设。如《数字乡村发展战略纲要》明…

英语疑惑之在树上

在树上&#xff0c;on the tree&#xff0c;我想这个这个介词到底该用in&#xff0c;on or other prep。本来我以为跟on the roof差不多&#xff0c;就是在物体表面&#xff0c;可是百度了一下&#xff0c;可以有on the tree, in the tree, by the tree, at the tree, under th…

基于tcp,html,数据库的在线信息查询系统项目总结

1.项目背景 在线信息查询系统是一种可用于检索和展示各种信息的计算机程序或平台。主要特点包括&#xff1a; 用户接口&#xff1a;通常提供友好的界面&#xff0c;用户可以方便地输入查询条件。 数据存储&#xff1a;系统往往连接到数据库&#xff0c;存储大量信息&#xf…

自动化工具Selenium IDE基本使用——脚本录制

1 简介 Selenium相信大家都知道&#xff0c;在做自动化操作时&#xff0c;要使用浏览器驱动直接控制浏览器操作的时候&#xff0c;大多会结合Selenium框架使用。 但在对网页操作自动化的时候&#xff0c;实际上有一种更轻量的做法&#xff0c;那就是直接使用Selenium IDE&…

【LeetCode每日一题】2024年8月第二周(上)

2024.8.5 困难 链接&#xff1a;600. 不含连续1的非负整数 &#xff08;1&#xff09;题目描述&#xff1a; &#xff08;2&#xff09;示例 &#xff08;3&#xff09;分析 思路1&#xff1a; 题目要求的数值&#xff0c;是将数二进制转换后&#xff0c;不存在连续的1&#x…

SQL时间盲注

目录 1.时间盲注 2使用场景 3.步骤 3.1判断注入点 3.2爆数据库名 3.3爆表名 3.4爆字段名 3.5查询数据 1.时间盲注 时间盲注是指基于时间的盲注&#xff0c;也叫延时注入&#xff0c;根据页面的响应时间来判断是否存在注入。 2使用场景 页面没有回显位置&#xff08;…

安装Supervisor队列进程、管理 Laravel 队列进程

在 CentOS 上安装 Supervisor 并配置 Laravel 的步骤如下&#xff1a; 1.安装 Supervisor&#xff1a; 使用以下命令安装 Supervisor&#xff1a; sudo yum install epel-release sudo yum install supervisor 2.配置 Supervisor&#xff1a; 创建一个新的 Supervisor 配置文…

EasyBoss ERP订单分仓规则优化升级,帮助跨境卖家高效处理TikTok本土店订单

做TikTok本土小店不仅要上货快&#xff0c;订单处理效率也得快&#xff01;效率越高&#xff0c;赚钱的速度就比别人要快&#xff01; 想提高订单效率&#xff0c;少不了EasyBoss ERP的帮忙&#xff0c;最近EasyBoss订单处理模块又有新升级&#xff0c;让老板们体验“快到飞起…

给新手项目经理的几点建议

踏入项目管理的新领域&#xff0c;对于每一位新手项目经理而言&#xff0c;都是一次既激动又充满挑战的旅程。在这个过程中&#xff0c;不仅需要掌握扎实的理论知识&#xff0c;还需要在实践中不断积累经验&#xff0c;提升自我。以下是一些针对新手项目经理的实用建议&#xf…

Stable Diffusion绘画 | 图生图-上传重绘蒙版

上传重绘蒙版&#xff0c;可以弥补局部重绘的缺点&#xff0c;能够更精细的修改画面中的指定区域 使用PS制作的蒙版图片为耳朵下方区域&#xff0c;可以为图片中的女生带上不同款式的耳环。 参数配置&#xff1a; 调整提示词&#xff1a; 生成图片如下所示&#xff1a; 调整提…

大数据面试SQL(一):合并日期重叠的活动

文章目录 合并日期重叠的活动 一、题目 二、分析 三、SQL实战 四、样例数据参考 合并日期重叠的活动 一、题目 已知有表记录了每个品牌的活动开始日期和结束日期&#xff0c;每个品牌可以有多个活动。请编写一个SQL查询合并在同一个品牌举行的所有重叠的活动&#xff0c…

手机在网时长查询接口如何对接?(一)

一、什么是手机在网时长查询接口&#xff1f; 传入手机号码&#xff0c;查询该手机号的在网时长&#xff0c;返回时间区间&#xff0c;支持携号转网号码查询。 二、手机在网时长查询接口适用于哪些场景&#xff1f; 例如&#xff1a;客户画像与精准营销 &#xff08;1&…

ROS 7上实现私网互通方案

一、背景: 第一个私网现状:连接公域网是由tp-link进行拨号链接使用动态公网ip,内部网段是192.168.1.0/24 第二个私网现状:连接公域网是机房的固定公网ip,内部网段为10.0.0.0/16二、目标 安全的打通192.168.1.0/24和10.0.0.0/16的网络, 使得前者局域网中的机器能够安全访…

C#使用Socket实现TCP服务器端

1、TCP服务器实现代码 using System; using System.Collections.Generic; using System.Linq; using System.Net; using System.Net.Sockets; using System.Text; using System.Threading; using System.Threading.Tasks;namespace PtLib.TcpServer {public delegate void Tcp…