热门标签
热门文章
- 1远程控制软件安全吗?一文看懂ToDesk、RayLink、TeamViewer、Splashtop相关安全机制_raylink和todesk
- 2AIGC内容分享(五十二):AIGC视觉艺术创新工具之:Bing图像生成器(Bing Image Creator)
- 3值得苦练的100道Python经典练手题,(附详细答案)建议收藏!_python练手经典100例
- 4【CSV注入漏洞】
- 5Linux翻译工具_linux好用的翻译软件
- 6深度思考计算机网络面经之二_多路复用如何解决队头阻塞
- 7单芯片多轴伺服系统解决方案_ocdvg
- 8安全入门day.02
- 9数据结构知识点总结--排序_数据结构排序知识点概括
- 10ElasticSearch[八]:自定义评分功能、使用场景讲解以及 function_score常用的字段解释_通过esjavaapi实现自定义评分功能 es评分算法
当前位置: article > 正文
应急响应基础 - Linux_linxux初级应急响应
作者:笔触狂放9 | 2024-08-12 10:29:45
赞
踩
linxux初级应急响应
应急响应基础 - Linux
-
关键目录
-
常用命令
-
应急工具
关键目录:
| 文件名 | 说明 |
|---|---|
| /etc/passwd | 用户信息文件 |
| /etc/rc.d/rc.local | 开机启动项 |
| /root/.ssh | root用户ssh公钥和私钥(可能不在) |
| /tmp | 系统或用户临时文件的目录 |
| /etc/host | 本地IP地址域名解析文件 |
| /etc/init.d/ | 开机启动项 |
常用命令:
| 命令 | 解释 |
|---|---|
| ls -alt | 查看当前目录下所有的文件并排序 |
| free -h | 查看系统内存使用情况 |
| ps auxf ,top | 查看系统进程及子进程 |
| netstat -antpl | 查看网络连接 |
| ls -alt /porc/[pid] | 查看其对应的可执行程序 |
| lsof -i:[port] | 查看端口打开的文件 |
| lsof -p [pid] | 查看进程打开的文件 |
| lsof -u [root] | 查看用户打开的文件 |
| chattr | 修改文件属性 |
| lsattr | 显示文件属性 |
| grep | 查找符合条件的字符串 |
| history 、cat ~/.bash_history | 查看历史命令 |
| find / -mtime 0 -name *.jsp | 查找当前目录下,指定1天内修改的指定类型(or文件) |
| find / -ctime 0 -name *.jsp | 查找当前目录下,指定1天内新增的指定类型(or文件) |
| diff -c | 比较文件差异 |
| last | 查看用户登录历史记录 |
| lastb | 查看用户登录失败记录 |
| lastlog | 查看用户最近一次登录信息 |
排查启动项:
- cat /etc/rc.local
- cat /etc/init.d
- ls -alt /etc/profile.d/*.sh //该目录下的.sh文件可以直接被运行
查看定时任务:
- cat /etc/passwd | cut -f 1-d : | xargs -l {} crontab -l -u {} //查看所有用户的计划任务
- //计划任务可能存在的文件夹和文件
- ls -altr /var/spool/cron/*
- more /etc/crontab
- more /etc/cron.d/*
- more /etc/cron.daily/*
- more /etc/cron.hourly/*
- more /etc/cron.monthly/*
- more /etc/cron.weekly/
- more /etc/anacrontab
- more /var/spool/anacron/*
校验RPM软件包:
- rpm -Va
- dpkg -verify
-
- S:表示对应文件的大小不一致
- M:表示对应文件权限和所有权不一致
- 5:表示对应文件的MD5值不一致
- D:表示文件的设备号和驱动程序不一致
- L:表示文件的符号连接内容不一致
- U:表示文件所有者不一致
- G:表示文件的群组不一致
- T:表示文件的修改时间不一致
查找隐藏进程:
- ps -ef | awk '{print $2}' | sort -n | uniq > ps.p //打印进程,awk过滤,导入ps.p
- ls /porc | sort -n | uniq > porc.p //把所有进程文件的文件号导入porc.p
- diff ps.p porc.p //比较文件
Linux日志分析
-
Linux日志类型大致可以分为三类,内核和系统日志、用户日志、应用日志
-
内核和系统日志:这种日志主要由syslog管理、根据配置文件/etc/syslog.conf中的设置决定内核消息和各种系统程序信息记录到哪个位置
-
用户日志:用户日志主要记录系统用户登录或者退出的信息,包括用户名账号、登录时间、源IP等
-
应用日志:记录应用程序运行过程中的各种事件信息
| 日志文件 | 说明 |
|---|---|
| /var/log/messages | 系统重要信息日志 |
| /var/log/secure | 记录验证和授权方面的信息,例ssh登录、su切换用户、添加用户等 |
| /var/log/maillog | 记录系统运行电子邮件服务器的日志信息 |
| /var/log/cron | 记录系统定时任务相关日志 |
| /var/log/boot.log | 记录系统启动时候的日志,包括自启动的服务 |
| /var/log/dmesg | 记录内核缓冲信息 |
| /var/log/bmtp | 记录所有登录失败的日志 |
| /var/log/wtmp | 用户每次登录进入和退出时间的永久记录 |
| /var/log/lastlog | 记录所有用户的最近信息 |
日志分析 - secure日志
- Apr 17 10:25:37 VM-0-17-centos sshd[18083]: Acceted publickey for root from 45.79.126.79 port 5729 ssh2: RSA SHA256:av1LZEMVmLIn1gDyaaMc8LWygx6KGLzjRa57Zvx7+ac
-
- - Apr 17 10:25:37:事件发生的日期和时间,以月、日、小时和分钟的格式表示
- - VM-0-17-centos:事件发生的机器的主机名
- - sshd[18083]:服务的名称(sshd)和与事件相关的进程ID(18083)
- - Acceted publickey:公钥身份验证成功
- - for root:验证的用户账户是root
- - from 45.79.126.79 port 5729 ssh2:来自IP地址45.79.126.79且SSH连接的端口是5729
-
- - Failed password for root:密码身份验证失败,尝试验证root用户的密码
查找每个IP地址的失败登录次数:
sudo awk '/sshd.*Failed/ {print $(NF-3)}' /var/log/secure | sort | uniq -c | sort -nr查找特定IP地址的失败登录:
sudo grep "sshd.*Failed.*from <IP_ADDRESS>" /var/log/secure | awk '{print $1,$2,$3,$9,$11}'查找特定IP地址的成功登录:
sudo grep "sshd.*Accepted.*from <IP ADDRESS>" /var/log/secure | awk '{print $1,$2.$3,$9,$11}'应急工具
① -- Busybox
-
一款集成了三百多个最常用Linux命令的工具集
-
属于静态链接库
-
当入侵者将系统命令进行了恶意替换之后,可以使用Busybox来进行命令操作
- //先将busybox赋予可执行权限
- $ ./busybox [系统命令]
- 例如:$ ./busybox netstat -antpl
② -- unhide
-
一款检测发现那些借助rootkit及其他技术隐藏的进程和TCP/UDP端口的命令行工具
-
可以使用yum和apt直接安装
③ -- chkrootkit
-
chkrootkit是一个Linux下检测rootkit的脚本
④ -- rkhunter
-
rkhunter是一个Linux下检测rootkit的脚本
-
可使用yum下载
⑤ -- clamav
-
一款用于检测木马、病毒、恶意软件和其他恶意威胁的开源防病毒引擎
-
官网下载:ClamAVNet
-
安装后需要修改配置文件
-
需要配合防病毒引擎使用
⑥ -- webshell查杀
-
河马webshell查杀工具
-
内存马查杀工具
声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:【wpsshop博客】
推荐阅读
相关标签
