find ./ -iname “*.php” -perm 777 //查找最近新建的含.php文件的 ， 具有最高权限的文件 。

新建立一个z.php文件 ， 给予最高权限 。

再次进行筛选 。

04-网络连接分析在linux中可以使用netstat进行网络连接查看
netstat -Print network connections ， rounting tables ， interface statistics ， masquerade connections ， and multicast memberships
具体帮助信息查看 man netstat
常用命令 **netstat -pantl **查看处于tcp网络套接字相关信息
关闭未知连接使用** kill -9 pid **既可关闭 。
使用：netstat -pantl 查看处于tcp网络套接字相关信息

ip a 查看网络信息

发现可疑进程 ， 使用 kill -9 + pid值 ， 然后关闭进程 。

05-进程分析-进程所对文件使用ps命令 ， 分析进程 。 根据netstat 定位出pid， 使用ps命令 ， 分析进程
使用ps aux 查看你所有进程信息

ps aux | grep “22” 查看最近使用了22端口的进程 。

使用pid进行筛选



筛选 pid为647的 进程 。


查看端口未22的隐藏进程

06-登录分析-筛选异常登录在Linux做的操作都会被记录到系统日志中 ， 对于登录也可以查看日志信息查看是否有异常登录
last命令记录着所有用户登录系统的日志 ， 可以用来查找非授权用户的登录事件 ， 而last命令的输出结果来源于**/var/log/wtmp**文件 ， 稍有经验的入侵者都会删掉
/var/log/wtmp以清除自己行踪 ， 但是还是会露出蛛丝马迹在此文件中的
last -i grep -h 0.0.0.0 查看登录日志 ， 筛选非本地登录

last -i //查看登录日志 ， 含登录ip地址 。

last -i grep -v 0.0.0.0 查看登录日志 ， 筛选非本地登录


常见的用法：
who 查看当前登录用户（tty本地登陆 pts远程登录）
w 查看某一时刻用户的行为
uptime 查看有多少用户 ， 以此确定是否存在异常用户
lastb 显示登录失败次数 ， 判断是存在ssh爆破
last 显示用户最近登录信息 。
lastlog 登录成功记录
总结：本文主要总结了在遇到了Linux系统时 ， 应急响应先从对敏感文件分析、敏感文件信息、网络连接分析、进程分析、异常登录记录进行分析 。

稿源：(未知)

【傻大方】网址：/c/112EK6402021.html

标题：Linux|应急响应入门之Linux分析排查( 二 )