Linux系统应急响应
1.文件分析
/tmp临时文件
/etc/init.d/文件 开机自启动文件
用find命令查找一定时间范围内的文件
查找24小时内被修改的文件
find ./ -mtime 0(0+1x24) -name "*.php"
-ctime 创建时间
2.权限查找
查找权限过高的 比如777最高权限
3.进程分析
可疑网络连接---网络连接分析
netstat
常用命令 netstat -pantl 查看处于tcp网络套接字相关信息
找到ESTABLISHED建立连接
kill -9 pid 关闭进程
从进程找到所对应的文件 什么什么路径
ps-aux 查看所有进程信息
ps-aux | grep PID 找到具体pid的进程信息,lsof -i:找某一个端口号
4.登陆分析 系统日志
last命令查看登录last -i显示出IP地址的详细信息
5.异常用户分析排查
重点分析uid=0,pid=0的用户
6.历史执行命令分析排查
history存储在/root/.bash-history
cat /root/.bash-history命令===his tory命令
特别注意:wegt(可能远程下载木马),ssh(连接内网主机),tar zip类命令(数据打包),系统配置(命令修改)ps ,netstat
计划任务排查 crontab进行计划任务设定
crontab -e编辑设定计划任务
-l 查看当前计划任务
-r 删除计划任务
7.开机自启动项排查
使用update-rc.d 程序名称 disable 取消开机自启动
/etc/init.d/目录下保存着开机自启动程序的目录
用户可以直接使用/etc/init.d/ 程序名称 status 查看状态
/etc/init.d/ 程序名称 start 开启程序
/etc/init.d/ 程序名称 stop 停止程序
但是这并不是开机自启动
开机自启动设置为
enable 开机自启动
使用update-rc.d 程序名称 disable 取消开机自启动
8.$path变量异常
9.后门排查 工具rkhunter
rkhunter具有以下功能:
1.系统命令检测, 通过MD5校验
2.Rookit检测
3.本机敏感目录,系统配置异常检测