应急响应第一轮不要急着清理,先保留现场并建立时间线。
First Commands
date -Is
who
last -ai | head -30
ps auxfww
ss -tulpn
systemctl list-timers --all[!DANGER] 在确认业务影响和证据需求前,不要直接删除可疑文件或 kill 进程。
Persistence
常见持久化位置:
crontabsystemd- shell profile
- SSH authorized keys
- Web 目录下的计划任务脚本
Timeline
把登录、进程、文件 mtime、Web 访问日志放到同一条时间线上,通常比单点搜索更快。