前言:如果遇到服务器被黑,很多人会采用拔网线、封 iptables 或者关掉所有服务的方式应急。这种办法却不是长久之计,因为大部分都是线上服务器被黑,会非常影响线上业务正常开展。遇到了这种情况,应该如何取证呢?我这边汇总了一些常用排查取证命令。
一、获取基本信息
系统信息
//查看内核版本
[root@Goyasha~]# uname -a
Linux iZ0jl4nkdeztkww0r5igw1Z 3.10.0-957.21.3.el7.x86_64 #1 SMP Tue Jun 18 16:35:19 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux
-
//查看系统版本
[root@Goyasha~]# lsb_release -a 或 lsb_version -a
LSB Version: :core-4.1-amd64:core-4.1-noarch
Distributor ID: CentOS
Description: CentOS Linux release 7.6.1810 (Core)
Release: 7.6.1810
Codename: Core
-
//查看操作系统版本
[root@Goyasha~]# head -n 1 /etc/issue
\S
用户及组
//查看系统所有用户
[root@Goyasha~]# cut -d: -f1 /etc/passwd
内容省略..
-
//查看系统所有组
[root@Goyasha~]# cut -d: -f1 /etc/group
内容省略..
防火墙及路由
//列出防火墙所有规则
[root@Goyasha~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
INPUT_direct all -- anywhere anywhere
INPUT_ZONES_SOURCE all -- anywhere anywhere
INPUT_ZONES all -- anywhere anywhere
DROP all -- anywhere anywhere ctstate INVALID
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
-
//查看路由表
[root@Goyasha~]# route -n
以下省略..
二、获取网络信息
网络接口
//主机所有网络接口
[root@Goyasha~]# ifconfig -a
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet XX.XX.XX.XX netmask XX.XX.XX.XX broadcast XX.XX.XX.XX
ether 00:16:3e:01:0d:78 txqueuelen 1000 (Ethernet)
RX packets 12914006 bytes 2281399127 (2.1 GiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 11741027 bytes 15977525414 (14.8 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 2578850 bytes 280746220 (267.7 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 2578850 bytes 280746220 (267.7 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
开放端口
//显示网络连接、路由表和网络接口信息,下面的SS命令比netstat好用。
[root@iZ0jl4nkdeztkww0r5igw1Z ~]# netstat -tanp
Active Internet connections (servers and established)
以下省略..
-
//ss命令用于显示socket状态。他可以显示 PACKET sockets,TCP sockets,UDP sockets,DCCP sockets,RAW sockets,Unix domain sockets等等统计。它比其他工具展示等多tcp和state信息。
[root@iZ0jl4nkdeztkww0r5igw1Z ~]# ss -tanp
以下省略..