这是西西给粉丝盆友们整理的应急响应阶段第3篇。

喜欢的朋友们，记得点赞支持和收藏一下，关注我，学习黑客技术。

在linux系统中操作都会被记录到系统日志当中，每个用户登录的信息都会记录到日志，root用户在linux中拥有最高权限，可以执行任何操作，在进行排查的时候非常有必要排查linux下是否有异常用户。

linux下的用户信息存放在/etc/passwd目录下（无密码只允许本机登陆，远程不允许登陆），密码则存放在/etc/shadow目录。

/etc/passwd文件：

┌──(songly㉿kali)-[~]  
└─$ cat /etc/passwd  
root:x:0:0:root:/root:/usr/bin/zsh  
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin  

文件中的每一行代表一个用户的信息，每个字段用分号分割，用户名：密码：用户ID：组ID：用户说明：家目录：用户对应的shell。

/etc/shadow文件:

┌──(root💀kali)-[/home/songly]  
└─# cat /etc/shadow                   
root:$y$j9T$VtGT7HATc1Ap2/wR1wbMA/$EHoBQ4kNvn3/qULzCMv3/6f4Vg4BE8c2cxzDXggBKmC:18696:0:99999:7:::  
daemon:*:18696:0:99999:7:::  
bin:*:18696:0:99999:7:::  

用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留

ls -l /etc/passwd //查看文件修改时间，或者通过cat命令筛选出具有root权限的用户：

awk -F: ‘$3==0{print $1}’ /etc/passwd //查看具有root权限的用户

uptime //查看登陆多久、多少用户，负载

w //查看系统信息，想知道某一时刻用户的行为

last命令可以查看登录历史：

linux下的计划任务也需要排查，一般在linux下的任务计划文件是以cron开头的，linux系统中可以使用crontab命令进行计划任务的设置，例如-l是列出当前用户的计划任务

-d是删除计划任务，-e选项是编辑计划任务，特别要注意linux系统中未知的计划任务。

linux系统下的/etc/init.d目录下的文件中存放着开机自动启动的每个程序的目录：

打开linux shell终端我们一般会执行的常用命令，PATH环境变量决定了shell终端将从那些目录加载并执行命令。

每个目录以“ : ”符号进行分隔，例如当我们在终端输入qq，nameshell就会解析PATH环境变量从/usr/local/bin目录下找到qq程序并执行。那么我们可以从这些目录中检查是否存在异常文件或代码等等。