作者：Zzang
来源：cnblogs
原文：https://www.cnblogs.com/Zzang/p/LinuxHack.html
版权声明：本文为博主原创文章，转载请附上博文链接！

基本网络拓扑图

1. 准备阶段。配置云主机，模拟简单的ssh登录爆破入侵行为

• 步骤一：登录阿里云管理控制台。打开云主机。
• 步骤二：打开VMware，将kali虚拟机的网卡模式设置为NAT，打开kali。打开终端，测试ping云主机，需成功ping通，如下图所示
  
• 步骤三：通过SSH访问云主机，通过root账户登录云主机，前两次输入错误的密码，第三次输入正确的密码，并成功访问，如下图所示
  
• 步骤四：创建新用户hack，如下图所示
  
• 步骤五：为新用户设置密码“123456”，如下图所示
  
• 步骤六：再次打开一个终端，使用hack用户连接云主机，并输入错误的密码，如下图所示
  

自行配置hack账户的其他重要权限，或添加其他的账户，如空密码账户等等。并尝试远程登录使用。

2. Linux云主机ECS应急响应排查

1）账号安全

• 步骤一：查看账号，尝试找出异常账号，并分析账号的权限，并记录在实操报告中，如下图所示
  
• 步骤二：查看影子文件，并分析账号密码的设置情况，并记录在实操报告中，如下图所示
  
• 步骤三：使用下列命令，进一步分析账号信息，并记录在实操报告中，
• who 查看当前登录用户（tty本地登陆 pts远程登录）
• w 查看系统信息，想知道某一时刻用户的行为
• uptime 查看登陆多久、多少用户，负载who 查看当前登录用户（tty本地登陆 pts远程登录）
• w 查看系统信息，想知道某一时刻用户的行为
• uptime 查看登陆多久、多少用户，负载
  

2）入侵排查：

• 步骤一：查询特权用户（特权用户，uid为0）
  [root@hostserver ~]# awk -F: '$3==0{print $1}' /etc/passwd
  
• 步骤二：查询可以远程登录的帐号信息
  [root@hostserver ~]# awk '/\$1|\$6/{print $1}' /etc/shadow
• 步骤三：除root帐号外，其他帐号是否存在sudo权限。如非管理需要，普通帐号应删除sudo权限
  [root@localhost ~]# more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
• 步骤四：禁用或删除多余及可疑的帐号
• • useradd user 创建帐号
  • usermod -L user 禁用帐号，帐号无法登录，/etc/shadow第二栏为!开头
  • userdel user 删除user用户

  • userdel -r user 将删除user用户，并且将/home目录下的user目录一并删除

    3）历史命令查询

• 步骤一： 输入命令 history，查看

• 步骤二：查找文件 .bash_history所在目录，进入用户目录下，
  输入命令：cat .bash_history >> history.txt， 查看文件history.txt.
  或：tailf -200 /home/[指定username]/.bash_history

  4）查看端口信息

• 步骤一：使用命令netstat –antlp | more ，如下图所示
  

5）查看进程信息和cpu等利用信息

• 步骤一：使用ps命令，并查看参考文献，使用ps命令的常用查看命令组合，并将结果记录在实操报告中。
  
• 步骤二：使用top命令，并查看参考文献，使用top命令的常用查看命令组合，并将结果记录在实操报告中。
  

6）查看开机启动项、定时任务、服务

• 步骤：查看参考文献，完成上述排查，并将结果记录在实操报告中。

7）查看系统日志

• 步骤一：
• 日志默认存放位置：/var/log/
• 查看日志配置情况：more /etc/rsyslog.conf
  
• 步骤二：定位有多少IP在爆破主机的root帐号

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

• 步骤三：定位有哪些IP在爆破：

grep "Failed password" /var/log/secure|grep -E -o  "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]? [0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

• 步骤四：爆破用户名字典是什么？

grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

• 步骤五：2、登录成功的IP有哪些：

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

• 登录成功的日期、用户名、IP：

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' 

• 步骤六：查看增加用户的日志信息

grep "useradd" /var/log/secure

3. 使用工具协助排查入侵

• 步骤一：安装Rootkit查杀工具。

./chkrootkit使用方法：
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz
cd chkrootkit-0.52 （先查看安装的目录）
make sense
#编译完成没有报错的话执行检查
./chkrootkit

4，病毒查杀

• 使用工具Clamav
  ClamAV的官方下载地址为：http://www.clamav.net/download.html

作者：Zzang
来源：cnblogs
原文：https://www.cnblogs.com/Zzang/p/LinuxHack.html
版权声明：本文为博主原创文章，转载请附上博文链接！