命令 作用 类型 危险级别
rm -rf rm 命令用于在 Linux 系统下删除文件文件夹 -r 参数用于递归删除文件夹 -f 参数用于强制删除(不经过询问) 恶意删除
rm -rf / 递归强制删除根目录下的所有文件与文件夹 恶意删除
rm -rf * 递归强制删除当前目录的所有文件 恶意删除
rm -rf . 递归强制删除当前目录的所有文件夹 恶意删除
mv / /dev/null 该命令会将文件夹移动到 /dev/null 下,在 Linux 系统中 /dev/null 是一个特殊的文件,所有写入他的数据都会被清除,然后返回操作成功 恶意删除
:(){:|:&};: fork 炸弹,具体操作是通过定义一个名为 ‘:‘ 的函数,它会调用自己两次,一次在前台另一次运行在后台,它会反复的执行下去直到系统崩溃 资源耗尽
echo " " > /dev/sda /dev 目录下存放的是设备的文件描述符。直接往设备描述符中写入数据,将破坏整个设备 直接操作设备文件描述符
mkfs.ext3 /dev/sda 把硬盘格式化成ext3文件系统,在执行这个命令后你的块设备(硬盘驱动器)会被格式化,直接让你的系统达到不可恢复的阶段 直接操作设备文件描述符
fdisk /dev/sda 重建分区 直接操作设备文件描述符
dd if=/dev/zero of=/dev/sda dd if=/dev/random of=/dev/sda 直接写入数据到磁盘设备文件描述符 直接操作设备文件描述符
> file 该命令常用来清空文件内容或记录命令输出,用户可能真正想用的是 >>,即累加新的输出到文件,而不是刷新那个文件 恶意命令执行
export HISTCONTROL = ignorespace 在命令前面插入空格,这条命令会被 shell 忽略,也就意味着它不会出现在历史记录中。但是这种方法有个前提,只有在你的环境变量 HISTCONTROL 设置为 “ignorespace” 或者 “ignoreboth” 才会起作用。在大多数情况下,这个是默认值,我们无需设置这个环境变量。 隐藏命令
ln -s /dev/null ~/.bash_history history 记录存放在 ~/.bash_history 文件中,把写入 ~/.bash_history 使用软连接转移写入到其他的地方可以隐藏命令历史 隐藏命令
^foo^bar 该命令用来编辑先前运行的命令而无需重打整个命令,如果用户没有彻底检查命令,可能调用不符合预期的命令 隐式调用
类型 名称 正则表达式 威胁等级
反弹shell 反弹shell exec\s*\d*<>\s*/dev/tcp/(.*)/(.*) 高危
反弹shell 利用bash反弹shell bash\s+-i\s*>&\s+\/dev\/tcp\/\d+\.\d+\.\d+\.\d+\/\d+ 高危
agent威胁操作 杀掉agent进程 pkill\s+titanagent 高危
agent威胁操作 删除agent配置 \s*rm\s+-\w+\s+\/etc\/titan 高危
端口转发 portmap端口转发 portmap\s+\-m 高危
代理 利用代理软件lcx lcx(\.exe)*\s\-(slave|listen) 高危
代理 rcsocks执行socks反向代理 rcsocks\s+-\w 高危
代理 使用ssocks建立socks反向代理 rssocks\s*-vv 高危
代理 rssocks创建socks反向代理 ^rssocks<>-vv 高危
代理 利用$IFS绕过,执行rssocks rssocks\$IFS-vv 高危
代理 利用{}绕过,rssocks执行socks反向代理 \{rssocks,-vv\} 高危
清理痕迹 清除替换系统安全日志 (ca|ech)[t|o]*(.*)\w+\s*(?=\>)>(?<=>)\s*[\w/]+secure\b 高危
后门 设置ssh任意密码登录后门 ln\s*\-sf\s*/usr/sbin/sshd\s(.*) 高危
后门 替换ssh密钥 ^echo\s+['|"]ssh-rsa\s+((.|\n)*)['|"]\s*>>\.ssh\/authorized_keys 高危
后门 创建任意密码登录后门 ln\s+-\w+\s+(\/\w+)+\/sshd\s+(\/\w+)+\/su;(\/\w+)\/su\s+-\w+=\d+ 高危
后门 使用curl安装后门的连贯操作 curl\s*http.*>.*;.*chmod\s*777\s*(.*)\s*;\s* 高危
后门 使用wget安装后门的连贯操作 wget\s*http.*-O.*;.*chmod\s*777\s*(.*)\s*;\s* 高危
可疑命令 使用 hydra 进行密码爆破 hydra\s(.*) 高危
可疑命令 利用变量绕过执行系统命令 ^\w+=\$['|"]\\x20.+['|"]\&\&.+\$\w+ 高危
可疑命令 vigr修改shadow文件 ^(vigr|\/usr\/sbin\/vigr)\s+-s 高危
可疑命令 vipw修改shadow文件 ^(vipw|\/usr\/sbin\/vipw)\s+-+s 高危
代理 使用代理软件ngrok ngrok\s+-(domain|config) 中危
代理 使用代理软件frp frp[cs]\s+-c\s+\w+\.ini 中危
代理 使用代理软件tgcd tgcd\s+-[CLF] 中危
代理 使用代理软件iox iox\s+(fwd|proxy) 中危
代理 使用代理软件natbypass nb\s+-(listen|tran|slave) 中危
代理 使用http代理转发 python\s+reGeorgSocksProxy\.py 中危
代理 利用{}绕过,执行rssocks \{\s*rssocks\s*,\s*\-vv\s*\} 中危
agent威胁操作 卸载agent \/titan\/agent\/install.sh\s+(disclean|uninstall) 中危
后门 ssh软连接后门准备工作,复制pam.d下的文件 ^cp\s*\/etc\/pam.d/\w+\s+\/\w+(.*) 中危
后门 ssh软连接后门安装 ln\s*-sf\s*\/usr\/sbin\/sshd\s*\/\w+\/\w+\s*;\s*\/\w+\/\w+\s*-[o|O][p|P][o|O][r|R][t|T]\s*=\s*[0-9]* 中危
后门 替换ssh密钥 ^echo\s+['|"]ssh-rsa\s+((.|\n)*)['|"]\s*>>\.ssh\/authorized_keys 中危
arp 欺骗 使用 arp-dsniff 进行 arp 欺骗 dsniff\s* 中危
arp 欺骗 使用 ettercap 进行 arp 欺骗 ^ettercap\s* 中危
arp 欺骗 使用 arpsniffer 进行 arp 欺骗 arpsniffer\s(.*) 中危
arp 欺骗 使用 arpspoof 进行 arp 欺骗 arpspoof\s* 中危
清理痕迹 设置操作命令不记录进日志a HISTFILESIZE\s*=\s*[0-9] 中危
清理痕迹 设置操作命令不记录进日志b HISTFILESIZE\s*=\s*10 中危
清理痕迹 设置操作命令不记录进日志c HISTSIZE\s*=\s*[0-9] 中危
清理痕迹 设置操作命令不记录进日志d ^history\s*-c 中危
清理痕迹 设置操作命令不记录进日志e HISTSIZE\s*=\s*10 中危
清理痕迹 设置操作命令不记录进日志f unset(\s*HIST[A-Z]+)+ 中危
清理痕迹 查看或修改历史记录 (cat|vim|vi|nano)\s+.*\.\w+_history 中危
清理痕迹 清除系统中 wtmp 记录 wtmpclean\s(.*) 中危
清理痕迹 清除替换用户登录信息 (ca|ech)[t|o]*(.*)\w+\s*(?=\>)>(?<=>)\s*[\w/]+lastlog\b 中危
清理痕迹 清理bash历史记录日志 cat\s*\/dev\/null\s*\>\s*([~\/a-zA-Z0-9\.])+\.bash_history 中危
清理痕迹 清除替换web日志 (ca|ech)[t|o]*(.*)\w+\s*(?=\>)>(?<=>)\s*[\w/]+access_log\b 中危
清理痕迹 设置操作命令不记录进日志 set\s*\+o\s*history 中危
清理痕迹 清除历史记录 history\s*-c\s* 中危
清理痕迹 清除替换utmp日志 (ca|ech)[t|o]*(.*)\w+\s*(?=\>)>(?<=>)\s*[\w/]+utmp\b 中危
清理痕迹 清除替换messages日志系统 (ca|ech)[t|o]*(.*)\w+\s*(?=\>)>(?<=>)\s*[\w/]+messages\b 中危
清理痕迹 利用{}绕过,设置操作命令不记录进日志 \{\s*export\s*,\s*HISTSIZE=0\s*\} 中危
清理痕迹 清除替换记录日志 (ca|ech)[t|o]*(.*)\w+\s*(?=\>)>(?<=>)\s*[\w/]+wtmp\b 中危
清理痕迹 设置操作命令不记录进日志 export\$IFSHISTFILE\s*=\s*\/dev\/null 中危
清理痕迹 利用{}绕过,不记录历史 \{\s*unset\s*,\s*HIST[A-Z]+\s*\} 中危
清理痕迹 使用logtamper修改linux日志 logtamper-static\s(.*) 中危
清理痕迹 清除替换记录错误的登录信息 (ca|ech)[t|o]*(.*)\w+\s*(?=\>)>(?<=>)\s*[\w/]+btmp\b 中危
清理痕迹 利用{}绕过,查看或修改历史文件 \{(vi|vim|cat),(\/.+\/)*\.bash_history\} 中危
清理痕迹 设置操作命令不记录进日志 export\s*HISTSIZE=0 中危
清理痕迹 清除替换记录web错误日志 (ca|ech)[t|o]*(.*)\w+\s*(?=\>)>(?<=>)\s*[\w/]+error_log\b 中危
清理痕迹 设置操作命令不记录进日志 export\s*HISTFILE=\/dev\/null 中危
清理痕迹 利用$IFS绕过查看或修改mysql历史记录 (vim|cat|vi)\$IFS.+\.mysql_history 中危
清理痕迹 清除替换登录认证日志 (ca|ech)[t|o]*(.*)\w+\s*(?=\>)>(?<=>)\s*[\w/]+auth.log\b 中危
清理痕迹 利用{}绕过,设置操作命令不记录进日志 ^\{export,HISTFILE\s*=\s*\/dev\/null\} 中危
可疑命令 nmap端口扫描 ^\s*nmap\s(.*) 中危
可疑命令 查看或修改host key (cat|vim|vi)\s*(.)*known_hosts 中危
可疑命令 查看etc目录下的passwd文件 ^\s*<\/etc\/passwd\s+grep\s+([a-z]|[A-Z]|[0-9]|\:|\/)+$ 中危
可疑命令 查看系统数据库passwd相关记录 getent\s*password\s*\S* 中危
可疑命令 使用python执行切换shell pty\.spawn\(('|")\/bin\/(bash|sh)('|")\) 中危
可疑命令 vigr修改密码文件 ^(vigr|\/usr\/sbin\/vigr)\s+-p 中危
可疑命令 vipw修改密码文件 ^(vipw|\/usr\/sbin\/vipw)\s+-p 中危
可疑命令 查看etc目录下shadow文件 ^\s*<\/etc\/shadow\s+grep\s+([a-z]|[A-Z]|[0-9]|\:|\/)+$ 中危
可疑命令 从github下载或提交代码 ^git((?!clone|commit).)*github.* 中危
明文登录 MongoDB明文密码登录 命中示例:mongo 127.0.0.1:27017/admin -u superuser -p pwd 中危
明文登录 MySQL明文密码登录 命中示例:mysql -P 3306 -u root -p 123456 中危
代理 利用{}绕过,rssocks执行socks反向代理 \{rssocks,-vv\} 低危
后门 ln软连接sshd任意密码登录后门 ln\s*-sf\s*\/usr\/sbin\/sshd.*?(su|chsh|chfn);.*?-[oO][pP][oO][rR][tT]= 低危
反弹shell ncat反弹shell ncat\s+--ssl.*?\/bin\/bash 低危
反弹shell exec重定向反弹shell \bexec\s*\d+<>\/dev\/(|udp).*?while\s*read\s*.*?done 低危
反弹shell node反弹shell node.*?-e.*?.*?require\(['"]child_process['"]\)\.spawn.*?(bash|sh).*?connect.*?pipe 低危
反弹shell telnet双端口反弹shell telnet\s+\d+\.\d+\.\d+\.\d+.*?bash.*?telnet\s+\d+\.\d+\.\d+\.\d+ 低危
反弹shell python反弹shell.b import\s+pty.*?\.spawn\(.*?\).*?<>/dev/(tcp|udp)/.*?/\d+.*?>.*? 低危
反弹shell Ruby反弹shell.a ruby(\s+|\$IFS)-rsocket(\s+|\$IFS)-ropenssl(\s+|\$IFS)-e\s*['|"]?.*?=OpenSSL::SSL::SSLSocket.new\(TCPSocket.new\( 低危
反弹shell nc反弹shell cat\s+.*?\|.*?\s+bash\s+.*?\|.*?\s+nc\s+.*? 低危
反弹shell Ruby反弹shell.b ruby(\s+|\$IFS)-rsocket(\s+|\$IFS)-e\s*['|"]?.*?=TCPSocket\.((new.*?|O.popen)|(open.*?\.to_i;exec)) 低危
反弹shell socat反弹shell socat\s*exec:['|"]?bash(\s-li)?['|"]?.*?\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}:\d{1,5} 低危
反弹shell php反弹fsockopen php\s*-r\s*['|"]?.*?fsockopen\(.*?\);.*?((exec|proc_open|shell_exec|system|popen)\(.*?\);|.*?(bash|sh|dash|tcsh|csh|ksh|zsh)) 低危
反弹shell rm/mkfifo/sh/nc反弹shell rm.*?;mkfifo.*?;cat.*?\|.*?(sh|bash).*?\|nc 低危
反弹shell socket/tchsh反弹shell echo\s["'].*?\[socket.*?while.*?puts.*?flush.*['"]\s*\|\s*tclsh 低危
反弹shell awk反弹shell g?awk\s+['"]BEGIN\s*\{.*?\/inet\/tcp\/0\/\d+\.\d+\.\d+\.\d+\/\d+.*?(for|while).*?getline.*?while.*?getline 低危
反弹shell perl反弹shell ['"].*?IO::Socket::(SSL|INET).*?\d+\.\d+\.\d+\.\d+:\d+.*?((while.*?sysread.*?syswrite)|(fdopen.*?fdopen.*?system\$_\s+while)) 低危
反弹shell python反弹shell.a import.*?socket.*?socket\(.*?\).*?connect\(.*?\).*?((Popen\(.*?PIPE.*?\))|(os\.dup2.*?(call|pty\.spawn)\()) 低危
反弹shell lua反弹shell use .*?Socket.*?socket\(.*?SOCK_STREAM.*?connect.*?open.*?exec.*?(sh|bash) 低危
反弹shell mkfifo/openssl反弹shell mkfifo\s+\/.*?;\s*\/bin\/sh.*?\|\s*openssl\s+s_client.*?> 低危
反弹shell bash反弹shell .*?(bash|sh|dash|tcsh|csh|ksh|zsh).*?\/dev\/(tcp|udp)\/\d+\.\d+\.\d+\.\d+\/\d+\s+0(<|>)& 低危
反弹shell exec反弹shell exec\s*\d*<>\s*/dev/(tcp|upd)/(.*)/(.*) 低危
反弹shell php_socket反弹shell php\s+-r\s*["'].*?stream_socket_client\(.*?STREAM_CLIENT_CONNECT.*?while.*?exec 低危
清理痕迹 查看或修改mysql历史记录 (cat|vim|vi)\s*(.)*\.mysql_history 低危
清理痕迹 利用{},查看或修改mysql历史记录 \{\s*(vim|vi|cat)\s*,\s*.+\.mysql_histroy\} 低危
可疑命令 增加uid为0的系统账号 useradd\s*-o\s*-u\s*0\s* 低危
可疑命令 python/base64执行 python.*?-c.*?exec.*?base64 低危
可疑命令 sudo提权漏洞利用 sudo\s*-u#(4294967295|-1)\s*.* 低危
可疑命令 使用netcat工具 netcat\s(.*) 低危
可疑命令 利用{}绕过执行netcat \{\s*netcat\s*,\s*.+\} 低危
可疑命令 vigr修改组文件 ^(vigr|\/usr\/sbin\/vigr)\s+-g 低危
可疑命令 vipw修改组文件 ^(vipw|\/usr\/sbin\/vipw)\s+-g 低危
可疑命令 修改权限,利用$IFS绕过 chmod(\$IFS([0-9a-zA-Z\.\'])+)+ 低危
可疑命令 切换shell.a ^ +\.\/(|z|da|tc|c|k)sh$ 低危
可疑命令 切换shell.b ^\s*\/bin\/(|z|da|tc|c|k)sh$ 低危
可疑命令 ncat测试端口连通性 ncat\s+\d+\.\d+\.\d+\.\d+\s+\d+ 低危
可疑命令 查看/etc/passwd用户数 wc\s+-l\s+\<\s+\/etc\/passwd 低危
可疑命令 wipe删除文件或目录 wipe\s(.*) 低危
可疑命令 查看/etc/shadow ^\s*<\/etc\/shadow\s+grep\s+([a-z]|[A-Z]|[0-9]|\:|\/)+$ 低危
可疑命令 查看内核版本 ls\s+\/boot(\/)*\s*$ 低危
可疑命令 nc规则 ^nc(\s+-\w+)+ 低危
可疑命令 使用ettercap嗅探 ettercap\s+\-\w\s+\-\w\s+arp 低危