【入侵排查]Linux、windows主机入侵排查

已于 2024-09-08 15:35:18 修改
阅读量643 收藏 14
点赞数 18
文章标签: linux 服务器
于 2024-09-08 15:33:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79958415/article/details/142007027
版权

一、实验目的

1、理解应急响应的概念及其重要性,提升安全意识和应对能力;

2、熟悉并掌握入侵排查的流程和技术;

3、掌握对linux、windows主机进行入侵排查的方法。

二、实验任务

1、分析linux主机被入侵的原因并找出存在的后门;

2、分析windows主机被入侵的原因并找出存在的后门。

三、实验环境

Windows7 64;Centos7 64

  • 实验过程和实验结

用户排查

查看正常用户和隐藏用户,发现隐藏用户 haha$

net user // 正常用户查看

net localgroup administrators // 隐藏用户查看

网络信息排查

netstat - -ano // 非管理员, 主要查看谁连接我

发现可疑 ip: 192.168.1.2

使用命令netstat -anob

发现无信息, 无法获取所有权信息 。

任务管理器

查看当前进程,发现可疑进程 rClcSqmoi.exe , 右键打开文件位置发现在 Temp 目录下, 八成就是木马了。

注册表排查:

发现注册表被写入恶意的启动项。查找最近打开的文件:

破案了,开了 MySQL 服务被登录 phpMyAdmin ,然后被上传木马和提权 。

属性还能看到路径, 顺着路径去找还能有更多信息。

该目录下有 phpinfo.php , shell.php , l.php 甚至有一个漏洞检测工具,

tiquan.exe 拿来提权。

Linux入侵排查

查看日志:

系统日志

%SystemRoot%\System32\Winevt\Logs\System.evtx

应用程序日志

%SystemRoot%\System32\Winevt\Logs\Application.evtx

安全日志

%SystemRoot%\System32\Winevt\Logs\Security.evtx

打开终端,查询history。

发现历史命令记录被删除,猜测疑似被入侵。

cd 切换到home目录下,发现隐藏的文件。

 把隐藏文件复制出来,拿去杀毒分析。

根据以上结果,确定是恶意文件。

排查计划任务:

这里发现了/root/.test.sh。cd  root 切换到root目录:

发现sh反弹shell脚本。

排查ssh公钥

cd /root/.ssh

发现被写入ssh公钥

查看ssh日志

cat /var/log/secure

发现ssh被同一ip 192.168.0.1暴力破解

在系统应用登录日志中出现了大量的ssh登录失败的请求,全都是来自192.168.0.1, 可能是伪造ip然后进行弱密码爆破,因为root密码是123456, 随后192.168.0.130就以root权限登录, 所以应该是通过爆破得到了root的密码。整改意见:更换ssh的密码,限制同一用户多次登录。

  • 实验总结

    通过本次实验,熟悉并掌握了入侵排查的流程和技术,以及掌握对linux、windows主机进行入侵排查的方法。入侵排查的流程包括查看日志、检查账号、查看进程、排查计划任务等。在本次实验中,要对所查找到的信息足够敏感,发现端倪,然后顺着线索进行下一步的操作,最后破案。

2301_79958415
关注
Linux 入侵排查
学-> 思->用
11-19 241
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
Linux下查找后门程序 CentOS 查后门程序的shell脚本
09-15
主要介绍了Linux下查找后门程序 CentOS 查后门程序的shell脚本,需要的朋友可以参考下
Linux后门排查
内心不种满鲜花就会长满杂草
07-12 7854
目录 文件排查 查看历史命令记录 特殊权限文件查找 进程排查 日志排查 入侵检测工具——GScan 文件排查 查看开机启动项,是否存在可疑启动项 systemctl list-unit-files |grep enabled 查看历史命令记录 history|more 或 more /root/.bash_history 当时,当我们执行上面那两条历史命令的时候就会发现,结果不一样,history的内容比history多。因为bash执行命令时不是马上把命令名称写入.bas
windowslinux入侵排查
最新发布
2401_82955039的博客
08-25 684
1、靶机地址:169.254.170.223(windows)、192.168.5.135(Linux)3.检查异常端口和进程,使用netstat查看异常端口,ps检查异常进程。2.历史命令查看,使用history指令查看历史Linux指令。1、 理解应急响应的概念及其重要性,提升安全意识和应对能力;3、掌握对windowslinux主机进行入侵排查的方法。1、分析windows主机入侵的原因并找出存在的后门;2、分析linux主机入侵的原因并找出存在的后门。2、熟悉并掌握入侵排查的流程和技术;
Linux常见后门(非常详细)零基础入门到精通,收藏这一篇就够了
Libra1313的博客
05-07 3432
Rootkit 是网络犯罪分子用来控制目标计算机或网络的软件。Rootkit 有时可以显示为单个软件,但通常由一系列工具组成,这些工具允许黑客对目标设备进行管理员级控制。黑客通过多种方式在目标计算机上安装 Rootkit:最常见的是通过网络钓鱼或其他类型的社会工程攻击。受害者在不知不觉中下载并安装隐藏在计算机上运行的其他进程中的恶意软件,并让黑客控制操作系统的几乎所有方面。另一种方法是利用漏洞(即软件或未更新的操作系统中的弱点)并将 Rootkit 强制安装到计算机上。
Linux下后门初探(一)
d_0xff的博客
05-27 1687
Linux下创建后门方式一默认情况下 GNU netcat 不支持持续性监听操作。每一次Accept并执行完命令之后,netcat就会断开连接。如果需要让 netcat 保持持续性监听状态,就必须使用循环语句不断的开启新的监听模式。listener.sh 监听脚本#!/bin/bash while [ 1 ]; do echo -n | netcat -l -v -p 445 -e /bin/ba
Windows以及Linux入侵排查
qq_60600840的博客
06-03 771
对于系统或者应用发生了安全事件之后的处理应急响应的处理分为事前和事后处理数据备份、风险评估、安全培训、应急演练等病毒检测、后门检测、系统恢复、清除病毒以及后门程序、调查与追踪、入侵者取证等。后门查杀
渗透测试基础 - - - linux入侵排查
weixin_67503304的博客
10-24 2622
本文主要讲述了linxu中如果遭遇网络攻击的排查步骤及其详细的使用方法。
Linux服务器入侵排查基础
绮梦寒宵的博客
01-19 1209
文章目录账号安全1.检查用户信息文件/etc/passwd2.检查影子文件/etc/shadow检查端口检查开机启动项检查计划任务检查异常文件检查系统日志 账号安全 1.检查用户信息文件/etc/passwd     Linux 系统中的 /etc/passwd 文件,是系统用户配置文件,存储了系统中所有用户的基本信息,并且所有用户都可以对此文件执行读操作。 首先我们先了解一下这个文件包含哪些内容: [root@test1 ~]#cat /etc/passwd root:x:0:0:root:/root:/
入侵类问题排查思路.pdf
03-24
腾讯云提供的这篇《入侵类问题排查思路.pdf》详细阐述了针对LinuxWindows系统的排查步骤,其中涉及了隐藏账户、弱口令、恶意进程、非法端口、恶意程序和可疑启动项等多个方面的检查方法。 首先,排查隐藏账户及弱...
检查linux后门- 笔记
收集盒 Book box
04-20 2145
1.rkhunter 安装 wget http://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.0/rkhunter-1.4.0.tar.gz tar -zxvf rkhunter-1.4.0.tar.gz cd rkhunter-1.4.0 ./installer.sh --install ./rkhunte
Linux常见系统后门排查命令
热门推荐
weixin_45253622的博客
03-03 1万+
Linux常见系统后门排查命令 1、检查异常账号——cat /etc/passwd 通过检查/etc/passwd,查看有没有可疑的系统用户,这个文件是以冒号:进行分割字段,一般我们只要注意第三个字段即可,第三个字段是用户ID,也就是UID,数字0代表超级用户的UID,即这个账号是管理员账号。一般Linux只会配置一个root账号为系统管理员,当出现其他账号是系统管理员的时候,就要注意了,很可能是黑客建立的账号。 2、检查异常登陆 who 查看当前登录用户(tty本地登陆 pts
Linux服务器各种后门查杀
有勇气的牛排博客
03-22 7352
hack再攻击我方服务器的时候,一般都会选择使用kali中的各种扫描工具,或其他自动脚本,对所有路由扫描排查,尤其是 /admin之类的敏感路由,当然大规模扫描也容易在日志中分析出来,访问量统计会非常明显,个人在接触网络安全后,发现很多脚本喜欢扫描php后台项目部署后,如果不是因为基础错误而崩溃的话,往往是被人大规模扫描了。
应急响应linux02(linux系统-后门排查-rkhunter)
qq_45300786的博客
02-28 247
但是出现warning的话,就是有异常 然后我们看下这个未知命令 我们进入bin目录查看这个命令
使用Linux系统命令对后门端口进行查杀
旺仔Sec&blog
06-16 1732
使用Linux系统命令对后门端口进行查杀
Linux后门***检测工具
weixin_34378969的博客
03-18 265
特别申明本文是高俊峰著作的《高性能Linux架构实战》中的一小段拿来与各位同僚分享。rootkit是Linux平台下最常见的一种后门工具,他主要通过替换系统文件来达到和隐蔽的目的,这种比普通后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种。rootkit能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏,从而人让***者保住权限 ,以使它在任何时候都可以是用root权限登陆系统。r...
后门排查方法项
XXokok的博客
12-01 274
排查后门时注意项有哪些
Linux手工入侵排查思路
04-19 700
Linux主机发生安全事件需要进行入侵排查时,一般可以使用常见的shell命令,通过分析主机的异常现象、进程端口、启动方式、可疑文件和日志记录等信息以确认主机是否被入侵。在这里,结合工作...
Linux主机操作系统安全加固规范
这份规范旨在提供一个全面的指南,通过执行这些强化措施,可以显著增强Linux主机的安全性,降低被黑客入侵的风险。每个安全基线项都提供了检测操作步骤和基线符合性判定依据,方便管理员实施和验证加固效果。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值