Linux应急响应小结

这篇具有很好参考价值的文章主要介绍了Linux应急响应小结。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录
  • 用户排查
  • 历史命令
  • 网络排查
  • 进程排查
  • 文件排查
  • 持久化排查
  • 日志分析

通过系统运行状态、安全设备告警,主机异常现象来发现可疑现象通常的可疑现象有:资源占用、异常登录、异常文件、异常连接、异常进程等。

用户排查

如果发现异常用户活动,例如尝试多次登录失败、执行不正常的命令等,应该及时采取措施,包括禁止用户登录、修改用户密码等。

  1. 查看 uid 或 gid 为 0 的用户(默认系统只存在root一个特权账户)
grep :0 /etc/passwd
  1. 查看 passwd 文件的最后修改记录
stat /etc/passwd
  1. 统计所有用户的 shell 相关信息
cat /etc/passwd | awk -F: '{print $7}' | sort | uniq
  1. 重点检查有登录权限的用户
cat /etc/passwd | grep bash
  1. 查看用户登录信息
last # 查看用户最近登录信息
lastb # 查看错误的用户登录信息
lastlog # 查看所有用户最后一次登录信息
  1. 查看允许 sudo 的用户
more /etc/sudoers | egrep -v "^#|^$"
  1. 继续检查 wheel 组包含的用户,wheel组通常用于授权用户拥有使用 sudo
grep wheel /etc/group
  1. 查看空口令的用户
awk -F: 'length($2)==0 {print $1}' /etc/passwd
  1. 查看可以远程登录的帐号信息
awk '/\$1|\$6/{print $1}' /etc/shadow

历史命令

history 记录位于用户 home 目录下的 .bash_history 文件中,可以直接 cat ~/.bash_history 查看历史记录。

网络排查

检查系统上正在监听的网络连接和端口情况,以及用户的网络活动,发现存在异常的网络行为。

  1. 查看本机开放的端口信息
netstat -antulp 或 ss -antulp 或 lsof -i
  1. 查看当前已建立的 TCP 连接
netstat -antulp | grep ESTABLISHED
  1. 查看反弹连接
netstat -antulp | grep bash
  1. 查看某一端口的具体应用
lsof -i:22
  1. 查看路由表:
route -n
  1. 查看 DNS 配置信息:
cat /etc/resolv.conf

进程排查

Linux 默认的进程权限分离,每个进程有不同的权限,所以从进程用户名上能给我们很多信息。比如 webshell 执行反弹连接,会显示 apache 的用户权限。

  1. 查看资源占用
top
  1. 查看所有进程
ps -ef
  1. 根据进程 PID 查看进程详细信息
lsof -p PID
  1. 查看进程的启动时间
ps -p PID -o lstart
  1. 对于一些异常的文件可以用 strings 显示里面的可读字符串进行初步判断
strings /usr/sbin/sshd | more
  1. 查看进程可执行文件
ps -eo pid,cmd
  1. 查看进程树
pstree

文件排查

  1. 显示文件的详细信息
stat filename
  1. 查找根目录下,修改时间小于1天的文件
find / -mtime -1
  1. 结合文件名进一步查找
find /var/www/html/ -mtime -1 -name *.php
  1. 查看系统命令是否存在异常,如大小、修改时间、创建时间等
ls -altS /usr/sbin | head -30

持久化排查

Linux的持久化方式通常有以下这几种方式:定时任务、开机服务、开机启动、驱动加载。

定时任务排查

列出当前用户的定时任务列表:

crontab -l

定时任务还应检查以下文件和文件夹:

/var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*

开机启动项排查

查看系统服务

  1. 查看所有系统服务的状态和启动方式
systemctl list-unit-files --type=service
  1. 查看当前正在运行的服务
systemctl list-units --type=service --all

Linux 开机有多种运行级别,不同级别下加载的启动文件也不相同

Linux应急响应小结

查看当前启动级别

runlevel

不同启动级别会加载不同启动文件,需要关注检查启动脚本目录

/etc/rc.d/*
/etc/rc.local
/etc/rc[0-6].d
/etc/inittab

日志分析

Linux 使用 rsyslog 管理日志,包括系统登录日志、服务访问日志、网站日志、数据库日志等。

日志默认存放位置 /var/log/ 目录,查看日志配置情况 vim /etc/rsyslog.conf

通常关注的系统日志有:

  • /var/log/messages:内核及公共消息日志,会记录linux系统的绝大多数重要信息

  • /var/log/cron:系统定时任务相关的日志

  • /var/log/dmesg:系统引导日志,系统在开机时内核自检的信息,dmesg命令直接查看

  • /var/log/boot.log:记录系统在引导过程中发生的,包含系统启动时的日志,包括自启动的服务

  • /var/log/secure:用户验证相关的安全性事件,如SSH登录,su切换用户,sudo授权等

  • /var/run/utmp:正在登录系统的用户信息,默认由who和w记录当前登录用户的信息

  • /var/log/wtmp:当前登录用户详细信息,二进制文件,使用last命令来查看

  • /var/log/btmp:记录错误登录日志,二进制文件,使用lastb命令查看

  • /var/log/lastlog:用户最后一次登录时间的日志,二进制文件,使用lastlog命令查看

  • /var/log/maillog:邮件系统日志

应用日志:

Nginx日志:

  • /var/log/nginx/access.log

Apache日志:

  • /var/log/httpd/access.log

  • /var/log/apache/ access.log

  • /var/log/apache2/ access.log

  • /var/log/httpd-access.log

Mysql日志:

  • /var/log/mysql/

Linux 可以使用 sed、awk、grep 文件三剑客从日志中快速提取信息。

  1. 定位有多少IP在爆破主机的root帐号:
grep "Failed password for root" /var/log/secure | awk '{print $11}' |  sort | uniq -c | sort -nr | more
  1. 定位有哪些IP在爆破:
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-  4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-  9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-  9]|[01]?[0-9][0-9]?)"|uniq -c
  1. 爆破用户名字典:
grep "Failed password" /var/log/secure|perl -e  'while($_=<>){ /for(.*?) from/; print "$1 \n";}'|uniq -c|sort -nr
  1. 登录成功的IP有哪些:
grep "Accepted " /var/log/secure | awk '{print $11}' | sort |	uniq -c |  sort -nr | more

登录成功的日期、用户名、IP:

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

若有错误,欢迎指正!o( ̄▽ ̄)ブ文章来源地址https://www.toymoban.com/news/detail-860115.html

到了这里,关于Linux应急响应小结的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Windows应急响应排查思路

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

    2023年04月20日
    浏览(46)
  • 应急响应:系统入侵排查指南

    目录 系统基本信息排查 Windows系统排查 Linux系统排查 CPU信息 操作系统信息 载入模块排查 用户排查 Windows系统用户排查 排查所有账户 Linux用户排查 root账户排查 查看所有可登录账户   查看用户错误的登录信息 查看所有用户最后登录信息 排查空口令账户 启动项排查 Windows系

    2024年02月09日
    浏览(57)
  • 应急响应排查思路(Windows篇)

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

    2023年04月19日
    浏览(43)
  • 【安全服务】应急响应1:流程、排查与分析

    目录 一、应急响应流程 1 准备阶段 2 检测阶段 3 抑制阶段 4 根除阶段 5 恢复阶段 6 总结阶段 现场处置流程 二、系统排查 1、系统信息 2、用户信息 3 启动项 4 任务计划 5 其他:Windows防火墙规则  三、进程排查 1 windows 1.1 任务管理器 1.2 cmd tasklist 1.3 查看正在进行网络连接的进

    2024年02月08日
    浏览(39)
  • 服务器病毒木马通用排查处理应急响应流程

    目录 一、勒索病毒发作的特征    二、勒索病毒的应急响应   三、勒索病毒预防与事后加固   如果发现大量统一后缀的文件;发现勒索信在Linux/home、/usr等目录,在Windows   桌面或者是被加密文件的文件夹下。如果存在以上特征情况,证明感染了勒索病毒并且已经发作。

    2024年04月22日
    浏览(41)
  • 应急响应-web后门(中间件)的排查思路

    语言,数据库,中间件,系统环境等 1.利用时间节点筛选日志行为 2.利用已知的漏洞在日志进行特征搜索,快速定位到目标ip等信息 3.后门查杀,获取后门信息,进一步定位目标信息 iis .net分析:网站被入侵,给出来被入侵时间 iis日志地址:inetput/logs/LogFiles/W3VC5(确认对网站的

    2024年02月14日
    浏览(40)
  • Windows应急响应 -Windows日志排查,系统日志,Web应用日志,

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 Windows系统日志存放在 C:WindowsSystem32winevtLogs 目录下,使用系统自带的【事件查看器】来查看 WIN + R,输

    2023年04月09日
    浏览(56)
  • 【应急响应】网站入侵篡改指南&Webshell内存马查杀&漏洞排查&时间分析

    应急响应: 1、抗拒绝服务攻击防范应对指南 2、勒索软件防范应对指南 3、钓鱼邮件攻击防范应对指南 4、网页篡改与后门攻击防范应对指南 5、网络安全漏洞防范应对指南 6、大规模数据泄露防范应对指南 7、僵尸网络感染防范应对指南 8、APT攻击入侵防范应对指南 9、各种辅

    2024年01月20日
    浏览(45)
  • 【Windows应急响应】HW蓝队必备——开机启动项、临时文件、进程排查、计划任务排查、注册表排查、恶意进程查杀、隐藏账户、webshell查杀等

    近年来信息安全事件频发,信息安全的技能、人才需求大增。现在,不管是普通的企业,还是专业的安全厂商,都不可避免的需要掌握和运用好信息安全的知识、技能,以便在需要的时候,能够御敌千里。所谓养兵千日,用兵一时,拥有一支完善的团队或完整的流程,可以保

    2024年02月02日
    浏览(48)
  • linux应急排查

    常用命令 查看登录用户和活动 whoami:显示当前登录用户的用户名。 w:显示当前登录到系统上的用户列表和他们正在执行的命令。 last:显示最近登录到系统的用户列表、登录时间和来源IP地址。 ps aux:列出当前正在运行的所有进程,以及它们的详细信息。 网络连接和端口检

    2024年02月07日
    浏览(29)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包