应急响应-Linux入侵排查(工具篇)
2.1 Rootkit查杀
- chkrootkit
网址:http://www.chkrootkit.org
使用方法:
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz
cd chkrootkit-0.52
make sense
#编译完成没有报错的话执行检查
./chkrootkit
rkhunter
网址:http://rkhunter.sourceforge.net
使用方法:
Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz
tar -zxvf rkhunter-1.4.4.tar.gz
cd rkhunter-1.4.4
./installer.sh --install
rkhunter -c
2.2 病毒查杀
- Clamav
ClamAV的官方下载地址为:http://www.clamav.net/download.html
安装方式一:
1、安装zlib:
wget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz
tar -zxvf zlib-1.2.7.tar.gz
cd zlib-1.2.7
#安装一下gcc编译环境: yum install gcc
CFLAGS=“-O3 -fPIC” ./configure --prefix= /usr/local/zlib/
make && make install
2、添加用户组clamav和组成员clamav:
groupadd clamav
useradd -g clamav -s /bin/false -c “Clam AntiVirus” clamav
3、安装Clamav
tar –zxvf clamav-0.97.6.tar.gz
cd clamav-0.97.6
./configure --prefix=/opt/clamav --disable-clamav -with-zlib=/usr/local/zlib
make
make install
4、配置Clamav
mkdir /opt/clamav/logs
mkdir /opt/clamav/updata
touch /opt/clamav/logs/freshclam.log
touch /opt/clamav/logs/clamd.log
cd /opt/clamav/logs
chown clamav:clamav clamd.log
chown clamav:clamav freshclam.log
5、ClamAV 使用:
/opt/clamav/bin/freshclam 升级病毒库
./clamscan –h 查看相应的帮助信息
./clamscan -r /home 扫描所有用户的主目录就使用
./clamscan -r --bell -i /bin 扫描bin目录并且显示有问题的文件的扫描结果
安装方式二:
#安装
yum install -y clamav
#更新病毒库
freshclam
#扫描方法
clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log
clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log
clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log
#扫描并杀毒
clamscan -r --remove /usr/bin/bsd-port
clamscan -r --remove /usr/bin/
clamscan -r --remove /usr/local/zabbix/sbin
#查看日志发现
cat /root/usrclamav.log |grep FOUND
2.3 webshell查杀
linux版:
河马webshell查杀:http://www.shellpub.com
深信服Webshell网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.html
2.4 RPM check检查
系统完整性可以通过rpm自带的-Va来校验检查所有的rpm软件包,查看哪些命令是否被替换了:
./rpm -Va > rpm.log
如果一切均校验正常将不会产生任何输出,如果有不一致的地方,就会显示出来,输出格式是8位长字符串,每个字符都用以表示文件与RPM数据库中一种属性的比较结果 ,如果是. (点) 则表示测试通过。
验证内容中的8个信息的具体内容如下:
S 文件大小是否改变
M 文件的类型或文件的权限(rwx)是否被改变
5 文件MD5校验是否改变(可以看成文件内容是否改变)
D 设备中,从代码是否改变
L 文件路径是否改变
U 文件的属主(所有者)是否改变
G 文件的属组是否改变
T 文件的修改时间是否改变
如果命令被替换了,如果还原回来:
文件提取还原案例:
rpm -qf /bin/ls 查询ls命令属于哪个软件包
mv /bin/ls /tmp 先把ls转移到tmp目录下,造成ls命令丢失的假象
rpm2cpio /mnt/cdrom/Packages/coreutils-8.4-19.el6.i686.rpm | cpio -idv ./bin/ls 提取rpm包中ls命令到当前目录的/bin/ls下
cp /root/bin/ls /bin/ 把ls命令复制到/bin/目录 修复文件丢失
2.5 linux安全检查脚本
Github项目地址:
https://github.com/grayddq/GScan
https://github.com/ppabc/security_check
https://github.com/T0xst/linux
尽信书不如无书,工具只是辅助,别太过于依赖,关键在于你如何解决问题的思路。
应急响应-Linux入侵排查(工具篇)相关推荐
- 应急响应-HW之windows 应急响应之入侵排查技巧
windows 应急响应之入侵排查技巧 文章目录 windows 应急响应之入侵排查技巧 常见的应急响应事件分类: 入侵排查思路 0x01 分析入侵过程 0x02 入侵排查方法 一.检查系统账号安全 ...
- 应急响应-window入侵排查
0x00 前言 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方 ...
- 网络安全——应急响应之入侵排查
一.windows入侵排查 1.入侵排查思路 1.1 检查系统账号安全 1.查看服务器是否有弱口令.远程管理端口是否对公网开放 (根据实际情况咨询相关服务器管理员) 2.检查服务器是否存在可疑账号.新 ...
- Linux应急响应入门--入侵排查(全面)
账号安全: 1.用户信息文件 /etc/passwd # 格式:account:password:UID:GID:GECOS:directory:shell # 用户名:密码:用户ID:组ID:用户说 ...
- 应急响应 - Windows 入侵排查
windows 入侵排查 前言 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程 ...
- 应急响应之Windows/Linux(入侵排查篇)
0x01 应急响应介绍 当企业发生入侵事件.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给 ...
- 应急响应之日志排查方法,Windows篇
应急响应之日志排查方法,Windows篇 1.Windows系统的日志文件位置 2.Windows日志分类 3.日志常用事件 ID 4.日志分析手段 通过内置的日志筛选器进行分析 通过 PowerSh ...
- 应急响应之系统排查方法
应急响应之系统排查方法 1.系统基本信息 Windows系统排查 Linux系统排查 2.用户信息 Windows用户排查 Linux用户排查 3.启动项 Windows启动项排查 Linux启动项排 ...
- Linux入侵排查脚本
根据大佬的Linux入侵排查文章,链接如下: https://bypass007.github.io/Emergency-Response-Notes/Summary/%E7%AC%AC2%E7%AF ...
最新文章
- 【深度学习之美】卷地风来忽吹散,积得飘零美如画(入门系列之十)
- elasticsearch如何安全重启
- easyUI menu动态添加
- 剑指Offer——二叉树的镜像
- 成功解决ERROR: Could not install packages due to an EnvironmentError: [WinError 5] 拒绝访问。backend_agg.cp36
- Transformer又又又升级了?
- ES6之路第十三篇:Iterator和for...of循环
- python getattr函数_Python中的getattr()函数详解
- 爬虫中 Selenium-Requets-模拟登陆cookie-代理proxy 的简单总结
- linux 安装onos 记录
- 正则表达式(三)操作符的运算优先级、全部符号的解释
- 程序设计c语言文件,文件C语言程序设计.pdf
- u盘镜像制作linux系统,制作iso镜像U盘自动化安装linux系统
- vscode写的html网页中文乱码
- MySQL数据库编程(C++)介绍
- Python机器视觉--OpenCV进阶(核心)-边缘检测之SIFT关键点检测
- Linux Entering rescue mode
- 查询快递单号物流,自动识别出物流是否签收
- Nvidia Agx Xavier平台10Gb PCIE网卡速度限制为1Gb问题调试记录
- 理解C++中花括号{}的作用