linux应急常用命令+技巧总结_ps -ef | ssort -k4 -nr | head -10

常用命令

top # 命令可以直接看到进程实时情况。
ps aux --sort=pcpu | head -10 # 查看cpu占用率前十的进程，有时候可以发现top发现不了的东西
netstat -anpl  # 检查当前存在的连接与监听端口
ps -ef #查看当前系统上运行的所有进程与其使用的命令
w # 查看活动用户
who # 查看当前登录用户（tty 本地登陆  pts 远程登录） /var/log/utmp
last # 查看用户登录日志，查看我们系统的成功登录、关机、重启等情况 /var/log/wtmp
lastb # 查看登陆失败的用户日志 /var/log/btmp
lastlog # 查看所有用户登陆日志 /var/log/lastlog
lsof -i :3306 # 查看谁在使用某个端口
lsof -nPi 查看内部对外的网络连接
Strace 集诊断、调试、统计一体的工具。  `strace -f -p pid` 查看进行的行为
busybox是应急常用的工具。 如果系统命令被替换了可以使用此命令来查看系统相关信息
1
2
3
4
5
6
7
8
9
10
11
12
13

查看History详细

设置history显示时间和用户名,更方便排查谁在什么时间执行了什么

export HISTTIMEFORMAT="%F %T `whoami` "  #设置history显示时间和用户名
1

查看文件改动

检查最近创建的php、jsp文件和上传目录 例如要查找24小时内被修改的JSP文件：

find ./ -mtime 0 -name “*.php”

stat /etc/passwd #查看密码文件上一次修改的时间，如果最近被修改过，那就可能存在问题。
cat /etc/passwd | grep -v nologin #查看除了不可登录以外的用户都有哪些，有没有新增的
cat /etc/passwd | grep x:0 #查看哪些用户为root权限，有没有新增的
cat /etc/passwd | grep /bin/bash #查看哪些用户使用shell
1
2
3
4

与测试环境目录做对比

diff -r {生产dir} {测试dir}

账号

1、查询特权用户特权用户(uid 为0)
root@drunk:~#  awk -F: '$3==0{print $1}' /etc/passwd
root
2、查询可以远程登录的帐号信息
roo
1
2
3
4