|
一個(gè)具體的Linux入侵應(yīng)急響應(yīng)案例��,寫(xiě)的很全面�,值得參考 :
【應(yīng)急響應(yīng)】redis未授權(quán)訪問(wèn)致遠(yuǎn)程植入挖礦腳本(攻擊篇) 【應(yīng)急響應(yīng)】redis未授權(quán)訪問(wèn)致遠(yuǎn)程植入挖礦腳本(防御篇) 【應(yīng)急響應(yīng)】redis未授權(quán)訪問(wèn)致遠(yuǎn)程植入挖礦腳本(完結(jié)篇)
處置總結(jié)轉(zhuǎn)自公眾號(hào):網(wǎng)絡(luò)安全滲透hack
一��、審計(jì)命令 在linux中有5個(gè)用于審計(jì)的命令: last:這個(gè)命令可用于查看我們系統(tǒng)的成功登錄�、關(guān)機(jī)、重啟等情況����;這個(gè)命令就是將/var/log/wtmp文件格式化輸出。
lastb:這個(gè)命令用于查看登錄失敗的情況�;這個(gè)命令就是將/var/log/btmp文件格式化輸出。
lastlog:這個(gè)命令用于查看用戶(hù)上一次的登錄情況���;這個(gè)命令就是將/var/log/lastlog文件格式化輸出�。
who:這個(gè)命令用戶(hù)查看當(dāng)前登錄系統(tǒng)的情況����;這個(gè)命令就是將/var/log/utmp文件格式化輸出���。
w:與who命令一致。 關(guān)于它們的使用:man last�,last與lastb命令使用方法類(lèi)似: bash/shell Code復(fù)制內(nèi)容到剪貼板 last [-R] [-num] [ -n num ] [-adFiowx] [ -f file ] [ -t YYYYMMDDHHMMSS ] [name...] [tty...] lastb [-R] [-num] [ -n num ] [ -f file ] [-adFiowx] [name...] [tty...] who [OPTION]... [ FILE | ARG1 ARG2 ]
參數(shù)說(shuō)明: 查看系統(tǒng)登錄情況last:不帶任何參數(shù),顯示系統(tǒng)的登錄以及重啟情況p1 
只針對(duì)關(guān)機(jī)/重啟使用-x參數(shù)可以針對(duì)不同的情況進(jìn)行查看p2 
只針對(duì)登錄使用-d參數(shù)���,并且參數(shù)后不用跟任何選項(xiàng)p3 
顯示錯(cuò)誤的登錄信息lastb 查看當(dāng)前登錄情況who、w 二�、 日志查看 在Linux系統(tǒng)中,有三類(lèi)主要的日志子系統(tǒng): 1�、連接時(shí)間日志: 由多個(gè)程序執(zhí)行,把記錄寫(xiě)入到/var/log/wtmp和/var/run/utmp����,login等程序會(huì)更新wtmp和utmp文件,使系統(tǒng)管理員能夠跟蹤誰(shuí)在何時(shí)登錄到系統(tǒng)����。(utmp、wtmp日志文件是多數(shù)Linux日志子系統(tǒng)的關(guān)鍵���,它保存了用戶(hù)登錄進(jìn)入和退出的記錄��。有關(guān)當(dāng)前登錄用戶(hù)的信息記錄在文件utmp中; 登錄進(jìn)入和退出記錄在文件wtmp中; 數(shù)據(jù)交換��、關(guān)機(jī)以及重啟的機(jī)器信息也都記錄在wtmp文件中����。所有的記錄都包含時(shí)間戳。) 2����、進(jìn)程統(tǒng)計(jì): 由系統(tǒng)內(nèi)核執(zhí)行,當(dāng)一個(gè)進(jìn)程終止時(shí)����,為每個(gè)進(jìn)程往進(jìn)程統(tǒng)計(jì)文件(pacct或acct)中寫(xiě)一個(gè)記錄。進(jìn)程統(tǒng)計(jì)的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計(jì)��。 3�、錯(cuò)誤日志: 由syslogd(8)守護(hù)程序執(zhí)行,各種系統(tǒng)守護(hù)進(jìn)程�、用戶(hù)程序和內(nèi)核通過(guò)syslogd(3)守護(hù)程序向文件/var/log/messages報(bào)告值得注意的事件。另外有許多Unix程序創(chuàng)建日志���。像HTTP和FTP這樣提供網(wǎng)絡(luò)服務(wù)的服務(wù)器也保持詳細(xì)的日志����。 日志目錄:/var/log(默認(rèn)目錄) 查看進(jìn)程日志cat /var/log/messagesp4 
查看服務(wù)日志cat /var/log/maillogp5 
三���、用戶(hù)查看 Linux不同的用戶(hù)���,有不同的操作權(quán)限����,但是所有用戶(hù)都會(huì)在/etc/passwd /etc/shadow /etc/group /etc/group- 文件中記錄����; 查看詳細(xì) less /etc/passwd:查看是否有新增用戶(hù)
grep :0 /etc/passwd:查看是否有特權(quán)用戶(hù)(root權(quán)限用戶(hù))
ls -l /etc/passwd:查看passwd最后修改時(shí)間
awk -F: ‘$3==0 {print $1}’ /etc/passwd:查看是否存在特權(quán)用戶(hù)
awk -F: ‘length($2)==0 {print $1}’ /etc/shadow:查看是否存在空口令用戶(hù) 注:linux設(shè)置空口令:passwd -d username 
四、進(jìn)程查看 1�����、普通進(jìn)程查看進(jìn)程中我們一般使用ps來(lái)查看進(jìn)程���;man ps
ps -aux:查看進(jìn)程
lsof -p pid:查看進(jìn)程所打開(kāi)的端口及文件 2、檢查隱藏進(jìn)程
ps -ef | awk ‘{print }’ | sort -n | uniq >1
ls /proc | sort -n |uniq >2
diff 1 2 注:以上3個(gè)步驟為檢查隱藏進(jìn)程 五�、其他檢查 1、檢查文件
find / -uid 0 -print:查找特權(quán)用戶(hù)文件
find / -size +10000k -print:查找大于10000k的文件
find / -name “…” -prin:查找用戶(hù)名為…的文件
find / -name core -exec ls -l {} \;:查找core文件����,并列出詳細(xì)信息
md5sum -b filename:查看文件的md5值
rpm -qf /bin/ls:檢查文件的完整性(還有其它/bin目錄下的文件) 2、檢查網(wǎng)絡(luò)
ip link | grep PROMISC:正常網(wǎng)卡不應(yīng)該存在promisc����,如果存在可能有sniffer
lsof -i
netstat -nap:查看不正常端口
arp -a:查看arp記錄是否正常 3��、計(jì)劃任務(wù)
crontab -u root -l:查看root用戶(hù)的計(jì)劃任務(wù)
cat /etc/crontab
ls -l /etc/cron.*:查看cron文件是變化的詳細(xì)
ls /var/spool/cron/ 檢查后門(mén)對(duì)于linux的后門(mén)檢查��,網(wǎng)絡(luò)上有一些公開(kāi)的工具��,但是在不使用這些工具的前提時(shí)��,我們可以通過(guò)一些命令來(lái)獲取一些信息�。首先就是檢測(cè)計(jì)劃任務(wù)���,可以參考上面����;
第二:查看ssh永久鏈接文件:vim $HOME/.ssh/authorized_keys
第三:lsmod:檢查內(nèi)核模塊
第四:chkconfig –list/systemctl list-units –type=service:檢查自啟
第五:服務(wù)后門(mén)/異常端口(是否存在shell反彈或監(jiān)聽(tīng))
其它:
ls /etc/rc.d
ls /etc/rc3.d
|
