Linux应急响应排查
上一篇文章说到Windows的应急响应排查,本篇文章就来说说Linux的应急响应排查。
首先,前期交互这部分的内容还是不能少的,毕竟掌握的信息越多,排查的思路就越清晰。
目录
Part1 熟悉主机环境
Part2 运行进程排查
Part3 端口开放检查
Part4 检查主机服务
Part5 检查历史命令
Part6 查看计划任务
Part7 查看制定文件夹七天内被修改过的文件
Part8 扫描主机驱动程序
Part9 查看攻击者是否在authorized_keys添加ssh私钥
Part10 日志排查
Part11 登陆排查
Part12 启动项排查
Part1 熟悉主机环境
uname -a
cat /proc/version
lsb_release -a
首先,先对排查主机的基本信息有一个了解。
Part2 运行进程排查
首先熟悉一下ps命令的参数:
- ps [选项]
-e 显示所有进程。
-f 全格式。
-h 不显示标题。
-l 长格式。
-w 宽输出。
a 显示终端上的所有进程,包括其他用户的进程。
r 只显示正在运行的进程。
u 以用户为主的格式来显示程序状况。
x 显示所有程序,不以终端机来区分。
ps -ef
- 参数含义:
1.UID 用户ID
2.PID 进程ID
3.PPID 父进程ID
4.C CPU占用率
5.STIME 开始时间
6.TTY 开始此进程的TTY----终端设备
7.TIME 此进程运行的总时间
8.CMD 命令名
ps aux
- 参数含义:
USER //用户名
%CPU //进程占用的CPU百分比
%MEM //占用内存的百分比
VSZ //该进程使用的虚拟內存量(KB)
RSS //该进程占用的固定內存量(KB)(驻留中页的数量)
STAT //进程的状态
START //该进程被触发启动时间
TIME //该进程实际使用CPU运行的时间
top (动态查看进程)
pstree(树形结构显示进程之间的关系)
通过进程运行的命令、资源占用、位置等来查找可疑进程。查找到可以进程后可以使用ll /proc/[进程pid]来获取进程运行的路径。
查找到可以进程后可以使用kill -9 [进程pid]来杀死进程。
ps -p [pid] -o lstart(查看进程开放的时间)
pstree -h [pid] -p -a 查看某个pid的进程树
Part3 端口开放检查
netstat -antpl(查看开放端口)
可以通过判断开放的异常端口来进行排查,或通过state字段来判断有没有端口进行网络连接。
lsof -i(查看正在进行的网络连接)
lsof -p [pid]查看进程PID打开的文件
lsof -c [进程名]查看该进程打开的文件
lsof -i:[端口号]查看该端口对应的进程
fuser -n tcp [端口号]查看该端口对应的进程pid
Part4 检查主机服务
service --status-all(枚举主机的所有服务)
Part5 检查历史命令
history
cat ~/.bash_history
Part6 查看计划任务
crontab -l
cat /etc/anacrontab 查看异步定时任务
more /var/log/cron 查看计划任务日志
more /var/spool/cron/*
Part7 查看制定文件夹七天内被修改过的文件
find /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime +7 | xargs ls -alh
Part8 扫描主机驱动程序
lsmod
Part9 查看攻击者是否在authorized_keys添加ssh私钥
ll ~/.ssh
Part10 日志排查
/var/log/message 包括整体系统信息
/var/log/auth.log 包含系统授权信息,包括用户登录和使用的权限机制等
/var/log/userlog 记录所有等级用户信息的日志
/var/log/cron 记录crontab命令是否被正确的执行
/var/log/xferlog(vsftpd.log) 记录Linux FTP日志
/var/log/lastlog 记录登录的用户,可以使用命令lastlog查看
/var/log/secure 记录大多数应用输入的账号与密码,登录成功与否
/var/log/wtmp 记录登录系统成功的账户信息,等同于命令last
/var/log/faillog 记录登录系统不成功的账号信息,一般会被黑客删除 如果开启了一些服务,也需要对服务运行的日志进行排查
Part11 登陆排查
who (查看当前登录的用户)
w(显示已登陆的用户,且在执行的命令)
last (查看登录成功的用户)
lastb(查看最近登录失败的用户)
lastlog (查看所有用户最近登录的时间)
cat /etc/passwd(查看用户信息)
排查passwd时,注意查看可登录shell的用户,即:shell为/bin/bash
awk -F: '$3==0{print $1}' /etc/passwd #查看超级用户(uid=0)
Part12 启动项排查
chkconfig --list 列出所有开机启动项
- 主要排查的启动项有:
/etc/rc.d/rc
/etc/rc
/etc/rc.local
/etc/rc.d/rc.local
/etc/rc.d/rc
/etc/init/*.conf
/etc/rc$runlevel.d/
/etc/profile
/etc/profile.d/
以上就是本篇文章的全部内容,如有填充,请大家点出。
“D&X 安全实验室”
专注渗透测试技术
全球最新网络攻击技术
Linux应急响应排查相关推荐
- Linux安全事件应急响应排查方法总结
Linux安全事件应急响应排查方法总结 Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能.高扩展性.高安全性,受到了越来越多的运维人员追捧.但是针对Linux服务器操作系统的安全事件也非 ...
- 2022-10-15(Linux应急响应、配置漏洞之DNS域传送、内网渗透之内网主机发现技巧)
http://noahblog.360.cn/advanced-windows-taskscheduler-playbook/@[toc] [重要]拜读的文章链接都在标题上. 一.linux应急响应 ...
- Linux 应急响应辅助笔记
目录导航 0x00 前言: 0x01 应急自动化工具: GScan: 河马: chkrootkit: 在线沙箱: 0x02 排查可能被替换的文件: 0x03 可疑用户排查: 0x04 定时任务排查: ...
- linux 应急响应 病毒清除 系统加固
概述 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Linux没有像Autorun.procexp这样的应急响应利器,也没有统一的应急响应处理流程.所以,这篇文章将会对L ...
- 运维基础(15) Linux 应急响应
Linux 环境下处理应急响应事件往往会更加棘手,因为相比于 Windows ,Linux 没有像 Autorun.procexp 这样的应急响应利器,也没有统一的应急响应处理流程. 所以 ,本文将会 ...
- Linux应急响应之挖矿篇
Linux应急响应之挖矿篇 Linux服务器经常受到挖矿木马的骚扰,严重影响服务器的正常使用.那么安全人员遇到这类问题该如何解决呢? 首先了解一下什么是挖矿 每隔一个时间点,比特币系统会在系统节点上生 ...
- 读《Linux应急响应》笔记(未完待续)
今天就想听着音乐,看看书.找到压箱底的<linux应急响应>看一看.还是蛮新的,是2021.7.1的新版. 文章目录 思维导图 挖矿事件 恶意域名 获取异常进程PID 寻找恶意⽂件样本 处 ...
- Linux应急响应-盖茨木马的处置方式
Linux应急响应-盖茨木马的处置方式 Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,BillGates攻击程序采用C/C++语言编写,因相关的程序中分别包含&q ...
- 【应急响应】Linux应急响应的姿势
0x01 Web服务 一般如果网络边界做好控制,通常对外开放的仅是Web服务,那么需要先找到Webshell,可以通过如下途径: 1)检查最近创建的php.jsp文件和上传目录 例如要查找24小时内被 ...
- Linux 应急响应流程及实战演练
当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为 ...
最新文章
- 理解java虚拟机工作后了解吗,【深入理解JAVA虚拟机】第4部分.程序编译与代码优化.2.运行期优化。这章提到的具体的优化技术,应该对以后做性能工作会有帮助。...
- etcd数据库备份与还原
- 跨域资源共享的10种方式(转)
- echarts 去掉网格线
- 指定的服务已经标记为删除_你的电话号码被标记过吗?你知道这件事情还能赚钱吗?...
- 内向的人可以做产品经理吗?
- ie6中兼容性问题总结
- 16. Django实战:云笔记项目
- 350. Intersection of Two Arrays II
- 序列最小最优化算法(SMO)
- ISP模块之RAW DATA去噪(一)
- mysql 内连接、自然连接、外连接的区别
- 【Electron-vue】构建桌面应用(5)-Linux下打包安装程序deb文件
- xposed绕过模拟器检测_刺激战场过模拟器检测 刺激战场模拟器检测怎么绕过
- 61. 请简述self在类中的意义?
- CodeForces 1045A. Last chance(线段树+网络流SAP)
- 5G商用价值到底在哪里,可以赋予哪些能力?
- java多线程并发之旅-34-性能与可伸缩性
- Python中文件操作(读、写、关闭)
- 【计量经济学】统计推断
热门文章
- 戴尔卡耐基《人性的弱点》
- Curious Array
- 计算机组策略怎么显示音量图标,win7系统电源、网络、音量图标不见的解决方法...
- 关于linux中limits的一些总结
- 谁的java视频教程好_初学Java编程看谁的Java视频教程好一些
- 一起学些LLVM(五): 学习lli/vmir
- ZOJ 3939 The Lucky Week
- 如何在谷歌地图上标注宾馆饭店矢量点并叠加导出为图片
- ubuntu下如何打开root文件夹,如何用root权限管理员权限打开文件夹,以及如何获取root权限
- Eslint+Prettier 实现代码 git 提交时自动格式化及修复