3.学会使用一些管理命令 ps/top/lsof/netstat/kill/tcpdump/iptables/dd 端口查看
ps -- process status
ps aux 观察程序所有程序资料
ps l 显示程序 uid pid ppid 等内容
ps AI 显示所有程序 的uid pid ppid
top -- display and update sorted information about processes
不用多说,这个命令观察系统信息进程
top -b -n 2 > top.txt 保存top信息到top.txt文件中,貌似mac不可以,用linux 测试下才行
lsof -- list open files
lsof -u root | grep hash 查看 属于root hash 的所有进程和它的子进程程序
lsof -u root -a -U 列出关于root 的所有程序的socket 讯息
lsof +d /dev 列出所部启动的硬件装置
列出所有打开的文件
# lsof
不带任何参数运行lsof会列出所有进程打开的所有文件。
找出谁在使用某个文件
# lsof /path/to/file
只需要执行文件的路径,lsof就会列出所有使用这个文件的进程,你也可以列出多个文件,lsof会列出所有使用这些文件的进程。
你也可以一次制定多个文件:
# lsof /path/to/file1 /path/to/file2
递归查找某个目录中所有打开的文件
# lsof +D /usr/lib
加上+D参数,lsof会对指定目录进行递归查找,注意这个参数要比grep版本慢:
# lsof | grep '/usr/lib'
之所以慢是因为+D首先查找所有的文件,然后一次性输出。
列出某个用户打开的所有文件
# lsof -u pkrumins
-u选项限定只列出所有被用户pkrumins打开的文件,你可以通过逗号指定多个用户:
# lsof -u rms,root
这条命令会列出所有rms和root用户打开的文件。
你也可以像下面这样使用多个-u做同样的事情:
# lsof -u rms -u root
查找某个程序打开的所有文件
# lsof -c apache
-c选项限定只列出以apache开头的进程打开的文件:
所以你可以不用像下面这样写:
# lsof | grep foo
而使用下面这个更简短的版本:
# lsof -c foo
事实上,你可以只制定进程名称的开头:
# lsof -c apa
这会列出所有以apa开头的进程打开的文件
你同样可以制定多个-c参数:
# lsof -c apache -c python
这会列出所有由apache和python打开的文件
列出所有由某个用户或某个进程打开的文件
# lsof -u pkrumins -c apache
你也可以组合使用多个选项,这些选项默认进行或关联,也就是说上面的命令会输入由pkrumins用户或是apache进程打开的文件。
列出所有由一个用户与某个进程打开的文件
# lsof -a -u pkrumins -c bash
-a参数可以将多个选项的组合条件由或变为与,上面的命令会显示所有由pkrumins用户以及bash进程打开的文件。
列出除root用户外的所有用户打开的文件
# lsof -u ^root
注意root前面的^符号,它执行取反操作,因此lsof会列出所有root用户之外的用户打开的文件。
列出所有由某个PID对应的进程打开的文件
# lsof -p 1
-p选项让你可以使用进程id来过滤输出。
记住你也可以用都好来分离多个pid。
# lsof -p 450,980,333
列出所有进程打开的文件除了某个pid的
# lsof -p ^1
同前面的用户一样,你也可以对-p选项使用^来进行取反。
列出所有网络连接
# lsof -i
lsof的-i选项可以列出所有打开了网络套接字(TCP和UDP)的进程。
列出所有TCP网络连接
# lsof -i tcp
也可以为-i选项加上参数,比如tcp,tcp选项会强制lsof只列出打开TCP sockets的进程。
列出所有UDP网络连接
# lsof -i udp
同样udp让lsof只列出使用UDP socket的进程。
找到使用某个端口的进程
# lsof -i :25
:25和-i选项组合可以让lsof列出占用TCP或UDP的25端口的进程。
你也可以使用/etc/services中制定的端口名称来代替端口号,比如:
# lsof -i :smtp
找到使用某个udp端口号的进程
# lsof -i udp:53
同样的,也可以找到使用某个tcp端口的进程:
# lsof -i tcp:80
找到某个用户的所有网络连接
# lsof -a -u hacker -i
使用-a将-u和-i选项组合可以让lsof列出某个用户的所有网络行为。
列出所有NFS(网络文件系统)文件
# lsof -N
这个参数很好记,-N就对应NFS。
列出所有UNIX域Socket文件
# lsof -U
这个选项也很好记,-U就对应UNIX。
列出所有对应某个组id的进程
# lsof -g 1234
进程组用来来逻辑上对进程进行分组,这个例子查找所有PGID为1234的进程打开的文件。
列出所有与某个描述符关联的文件
# lsof -d 2
这个命令会列出所有以描述符2打开的文件。
你也可以为描述符指定一个范围:
# lsof -d 0-2
这会列出所有描述符为0,1,2的文件。
-d选项还支持其它很多特殊值,下面的命令列出所有内存映射文件:
# lsof -d mem
txt则列出所有加载在内存中并正在执行的进程:
# lsof -d txt
输出使用某些资源的进程pid
# lsof -t -i
-t选项输出进程的PID,你可以将它和-i选项组合输出使用某个端口的进程的PID,下面的命令将会杀掉所有使用网络的进程:
# kill -9 `lsof -t -i`
循环列出文件
# lsof -r 1
-r选项让lsof可以循环列出文件直到被中断,参数1的意思是每秒钟重复打印一次,这个选项最好同某个范围比较小的查询组合使用,比如用来监测网络活动:
# lsof -r 1 -u john -i -a
lsof + nmap 命令 就可以查询到入侵电脑的黑客进程
netstat -- show network status
netstat
http://linux.vbird.org/linux_basic/0440processcontrol.php#netstat
netstat 列出系统已经建立的网络连接与unix socket 状态
netstat -tlnp 找出目前系统上已在监听的网络连接及其PID
这样就可以根据PID 来关闭服务进程
kill -- terminate or signal a process
仅仅用到 -9 参数
kill -9 httpd 杀死httpd的进程
killall -9 bash 杀死关于bash的进程
killall和kill发送的信号基本相同,它们的不同点是kill发送信号的对象是进程ID,killall发送信号的对象是进程名
tcpdump -- dump traffic on a network
黑客专用的命令
tcpdump -i eth0 -nn 以IP与port number 捉下eth0网卡的封包持续3s
- 17:01:47.362139:这个是此封包被撷取的时间,『时:分:秒』的单位;
- IP:透过的通讯协议是 IP ;
- 192.168.1.100.22 > :传送端是 192.168.1.100 这个 IP,而传送的 port number 为 22,你必须要了解的是,那个大于 (>) 的符号指的是封包的传输方向喔!
- 192.168.1.101.1937:接收端的 IP 是 192.168.1.101, 且该主机开启 port 1937 来接收;
- [P.], seq 196:472:这个封包带有 PUSH 的数据传输标志, 且传输的数据为整体数据的 196~472 byte;
- ack 和 seq 这个计网有学过
tcpdump -i eth0 -nn port 80 监听80端口的所有数据传输
其实就是wireshark 的shell 版本
最强大的参数就是 -X
tcpdump -i en1 -nn -X 'port 80'
监听80端口的所有数据,即使输入的字符也能显示出来
当然 密码也可以(明文)
如果搭建ftp的话 监听21端口可以看到明文的密码
iptables -- administration tool for IPv4 packet filtering and NAT
命令过于强大,主要作为防火墙,可以控制tcp/udp 或者http 的IP控制,可以让指定IP访问主机
敲完iptables 命令后一定要 iptables-save
iptables -A INPUT -i eth1 -s 192.168.155.126 -j ACCEPT
允许 这个IP 访问主机
iptables -A INPUT -i eth1 -s 192.168.155.126 -j DROP
拒绝这个IP访问主机
iptables -A INPUT -i eth0 -p tcp -s 192.168.0/24 --dport ssh -j DROP
dd -- convert and copy a file
最有印象的就是刻苦光盘用到dd 命令
dd if=/etc/passwd of=/tmp/passwd.back
dd if=/dev/hdc1 of=/tmp/boot.while.disk
nmap -- Network exploration tool and seurity / port scanner
nmap -sTU localhost
nmap 192.168.10.0/24 扫描整个网段的端口开放了那些端口