<aside> 💡 Notion Tip: Linux应急笔记.
</aside>
ls -a
简单查看隐藏文件/tmp
临时文件/etc/init.d
启动项export HISTTIMEFORMAT="%Y-%m-%d %H:%M:%S"
whoami@${USER_IP}: "$
export HISTFILESIZE=1000000
export PROMPT_COMMAND="history -a; history -r; $PROMPT_COMMAND"$
lsof -p PID
查看进程所打开的文件chattr
添加权限service —starus-all | more
服务排查last
查看用户最近登录lastb
查看用户错误登录信息lastlog | more
查看所有用户最后登录信息/etc/rc(0-6,s,).d
目录下的启动脚本crontab -l
crontab -u 用户名 -l
查看用户计划任务ls /etc/cron*
查看计划任务文件echo $PATH
strings /usr/sbin/sshd | grep '[1-9]{1,3}.[1-9]{1,3}.'
/etc/rsyslog.conf
/var/log/lastlog
和/var/log/wtmp
/var/log
secure
、messages
、wtmp