Quando vc cai no Blue Team, SOC, DFIR ou até segurança ofensiva, vc descobre rápido uma coisa: quem domina Linux investiga mais rápido, responde melhor e vê detalhes q passam batido no GUI.
Então aqui vai um compilado dos comandos q realmente fazem diferença no dia a dia, focado na prática :p
1️⃣ Descoberta e análise de processos
ps aux - lista tudo q está rodando
top / htop - monitora uso de CPU/RAM e processos suspeitos
pgrep / pkill - encontra e mata processos por nome
lsof -i - mostra conexões abertas por processo (ouro pra hunting)
lsof /tmp - ajuda a achar payload plantado em diretórios temporários
2️⃣ Monitoramento de rede
netstat -tulnp -portas abertas + processos
ss -tulnp - versão moderna e mais rápida do netstat
tcpdump -i eth0 - captura tráfego cru pra análise
curl -I https://URL - checa headers rapidinho
dig domínio.com / nslookup domínio.com - resolve e depura DNS
3️⃣ Investigação de arquivos e integridade
find / -type f -mtime -1 - mostra arquivos alterados nas últimas 24h
stat arquivo - exibe MAC times completos
sha256sum arquivo - calcula hash e verifica integridade
file arquivo - identifica tipo real (detecta disfarces)
grep -R "string" /caminho - caça infos ou IOCs no meio da bagunça
4️⃣ Informações do sistema e persistência
systemctl list-units --type=service - lista serviços ativos
systemctl status nome-do-servico - investiga comportamento estranho
crontab -l - caça persistências simples
journalctl -xe - traz logs detalhados
last / lastb - mostra logins válidos e inválidos
5️⃣ Permissões, usuários e hardening
chmod / chown - controle básico de acesso
sudo -l - mostra o q o usuário pode executar como root
passwd -S usuário - mostra status da senha
getent passwd - lista usuários do sistema
id usuário - mostra grupos e privilégios
6️⃣ Ferramentas úteis pra segurança
strings arquivo - extrai texto de binários suspeitos
hexdump -C arquivo / xxd arquivo - análise em hex
nc / ncat - troubleshooting, tunneling e testes de porta
curl | bash - motivo de metade das catástrofes rs
wget URL - baixa arquivos, provas e ferramentas
7️⃣ Automação rápida
for i in …; do …; done - loop básico pra hunting massivo
awk / sed - manipulação avançada de logs
grep -E / -P - regex poderosa pra filtrar o caos
>>Esses comandos funcionam nativamente em praticamente todas as distribuições Linux modernas, incluindo Ubuntu, Debian, Mint, Kali, Parrot, RHEL, Rocky, Alma, CentOS, Fedora, Arch, Manjaro, OpenSUSE, SUSE Enterprise, Amazon Linux 2/2023 e Oracle Linux.
