Linux应急响应第一天笔记(会再完善)

最新推荐文章于 2024-08-09 15:43:06 发布
最新推荐文章于 2024-08-09 15:43:06 发布
阅读量139 收藏
点赞数 5
文章标签: linux 笔记 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/G17653692793/article/details/138580069
版权

Linux系统应急响应
1.文件分析
/tmp临时文件
/etc/init.d/文件   开机自启动文件

用find命令查找一定时间范围内的文件
查找24小时内被修改的文件
find  ./  -mtime  0(0+1x24)  -name  "*.php"
            -ctime  创建时间
2.权限查找  
查找权限过高的 比如777最高权限


3.进程分析
可疑网络连接---网络连接分析
netstat 
常用命令   netstat -pantl  查看处于tcp网络套接字相关信息
找到ESTABLISHED建立连接
kill  -9  pid   关闭进程


从进程找到所对应的文件      什么什么路径
ps-aux 查看所有进程信息
ps-aux | grep PID 找到具体pid的进程信息,lsof -i:找某一个端口号


4.登陆分析   系统日志
last命令查看登录last -i显示出IP地址的详细信息


5.异常用户分析排查
重点分析uid=0,pid=0的用户


6.历史执行命令分析排查
history存储在/root/.bash-history
cat   /root/.bash-history命令===his tory命令
特别注意:wegt(可能远程下载木马),ssh(连接内网主机),tar zip类命令(数据打包),系统配置(命令修改)ps ,netstat

计划任务排查  crontab进行计划任务设定
crontab  -e编辑设定计划任务
          -l 查看当前计划任务
          -r 删除计划任务

7.开机自启动项排查
使用update-rc.d 程序名称  disable  取消开机自启动
/etc/init.d/目录下保存着开机自启动程序的目录
用户可以直接使用/etc/init.d/ 程序名称  status 查看状态
/etc/init.d/ 程序名称  start   开启程序
/etc/init.d/ 程序名称  stop   停止程序
但是这并不是开机自启动
开机自启动设置为
                    enable  开机自启动
使用update-rc.d 程序名称  disable  取消开机自启动

8.$path变量异常

9.后门排查  工具rkhunter
rkhunter具有以下功能:
1.系统命令检测, 通过MD5校验
2.Rookit检测
3.本机敏感目录,系统配置异常检测
 

上清华
关注
  • 5
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Linux 应急响应命令总结,收藏版
Biu_Biu_Bi的博客
04-10 2283
Linux 应急响应命令总结,收藏版
应急响应靶场随练笔记 Day1
2302_77018945的博客
06-09 439
又是学校蓝桥杯省奖退的钱还没发的一天,晚上本来是想着打打玄机靶场的,但是清电脑的时候突然发现了之前下的靶机,Windows部分做完之后就准备期末没有再做了(yysy做的简单and有内容),不做完属实可惜,加之官方WP属实是简略到出一定境界了(高情商)所以有了这篇小短文。靶场来源:知攻善防实验室下载地址。
应急响应linux 排查
网络安全
06-29 912
有招聘需求的可以后台联系运营人员。最近发现一个不错的在线靶场,给大家推荐一下。 玄机靶场地址:https://xj.edisec.net/第一章 应急响应- Linux入侵排查1.web目录存在木马,请找到木马的密码提交 2.服务器疑似存在不死马,请找到不死马的密码提交 3.不死马是通过哪个文件生成的,请提交文件名 4.黑客留下了木马文件,请找出黑客的服务器ip提交 5.黑客留下了木马...
应急响应常用命令(Linux)---读书笔记
tpriwwq的专栏
08-12 1932
linux 常用应急排查命令
Linux应急响应笔记
程序员小乐
03-12 543
点击上方 "编程技术圈"关注,星标或置顶一起成长后台回复“大礼包”有惊喜礼包!每日英文There's no one that can influence the ...
应急响应笔记
hackDZ的博客
08-08 1163
应急响应基础(系统操作详细命令)
最实用的应急响应笔记思路小结
告白的博客
10-13 1624
0x00 事件应急响应的流程分析 事件整个类型大致归类于: 事件表现-信息收集-确认攻击类型-事件追查-修复 1)事件的表现: 网站类型:被篡改,信息丢失,乱码等 文件类型:被篡改,丢失,泄露等 系统类型:系统卡顿,CPU爆满,服务宕机等 流量类型:大量异常数据包,外部连接,网络网速卡顿等 第三方类型:服务异常,运行异常等 2)事件信息收集:windows-linux-MAC 对外服务情况 开放端口情况 系统版本 网络环境 漏洞情况 软件相关平台信息 口令整理收集 具备的防护情况 3)事件攻击类
应急响应实战笔记——入侵排查篇:② Linux 入侵排查
君逍遥o
03-27 1402
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
应急响应笔记(Linux
daxi0ng的博客
10-21 1699
A、日志分析 1、除root之外,是否还有其它特权用户(uid 为0)awk -F: '$3==0{print $1}' /etc/passwd 2、可以远程登录的帐号信息 awk '/\$1|\$6/{print $1}' /etc/shadow 3、查看登录失败信息 grep -o "Failed password" /var/log/secure|uniq -c 4、...
应急响应工具集及应急响应实战笔记.zip
08-04
网络安全应急响应工具集及应急响应实战笔记 辅助工具集 进程分析工具集 练手样本集 流量分析工具集 启动项分析工具集 信息收集工具集 专杀工具集 Webshell查杀集 第01章:入侵排查篇 第02章:日志分析篇 第03章:...
应急响应实战笔记.rar
02-14
应急响应实战笔记,包含入侵排查篇:Windows 入侵排查、Linux 入侵排查、常见的 Webshell 查杀工具、如何发现隐藏的 Webshell 后门、勒索病毒自救指南;日志分析篇:Windows日志分析、Linux日志分析、Web日志分析、...
应急响应实战笔记+linux、windows加固手册(建议收藏@@@)
08-07
应急响应实战笔记+linux、windows加固手册,详细讲述了linux、windows加固方法和应急响应流程,值得收藏
自用的应急响应工具和完整笔记
03-22
这次分享的是自用的应急响应工具和完整笔记,如图所示,包括入侵到提权到维持与排查... 都有对应的应急工具安装包,对新手友好!希望大家喜欢~
应急响应实战笔记_2020最新版.pdf
06-24
整体目录结构共六章,分为技巧篇和实战篇。第1~3章为技巧篇,分别对应入侵排查、日志分析和权限维持,第4~6章为实战篇,包含了Windows/Linux各种病毒木马,web入侵事件溯源处理过程。
Linux安全与高级应用(四)深入探索MySQL数据库:安装、管理与安全实践
洛秋的博客
08-07 1475
Linux:作为操作系统,提供稳定的运行环境。Apache:作为Web服务器,处理HTTP请求。MySQL:作为数据库管理系统,存储和管理数据。:作为脚本语言,生成动态网页。LAMP平台的优势在于其成本低廉、可定制性强、易于开发、方便易用且安全稳定。这使得LAMP成为许多企业和开发者的首选平台。通过以上步骤,我们完成了LAMP平台的部署及其主要组件的配置和测试。LAMP平台的搭建不仅为Web开发提供了一个强大的环境,同时也展现了其在成本和效率上的优势。
如何解码Linux下事件响应工具evtest的时间戳
weixin_44199156的博客
08-08 330
这里放一下原文链接在开发input子系统驱动时,常常使用evtest工具进行测试。evtest是打印evdev内核事件的工具,它直接从内核设备读取并打印设备描述的带有值和符号名的事件,可以用来调试鼠标、键盘、触摸板等输入设备evtest通常用于在X.org中调试输入设备的问题,evtest提供了内核的处理信息。根据这些信息,可以判断是内核问题还是X.org问题。输出数据中,“type”是input类型,可以是“EV KEY”、“EV SW”、“EV SND”、“EV LED”或数值;
【ls】Centos/Linux ls命令详细介绍
最新发布
JocaZou的成长之路
08-09 1052
ls命令是Linux系统中常用的一个命令,用于显示指定目录下的文件和目录。
Linux 从基础到进阶】进程管理与性能调优
weixin_39372311的博客
08-08 422
通过本文的介绍,您已经了解了 Linux 系统中进程管理和性能调优的基本概念和操作方法。本文提供了适用于 CentOS 和 Ubuntu 系统的具体命令和示例,涵盖了 CPU、内存、I/O 和网络的性能调优策略。合理的进程管理和性能调优可以显著提升系统的稳定性和运行效率。如有任何问题或需要进一步的帮助,请参考CentOS 官方文档和Ubuntu 官方文档或在 CSDN 博客中查阅相关内容。
Linux Java服务管理脚本(启动、停止、查看状态)
程序员阿华的博客
08-08 162
Linux Java服务管理脚本(启动、停止、查看状态)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值