Linux应急响应

Linux应急响应

账号

cat /etc/passwd

root: x:0:0:root:/root:/bin/bash
用户名:密码:用户ID:组ID:用户说明:用户目录:shell

cat /etc/shadow

root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
用户名:密码:密码修改时间:密码修改间隔:有效期:密码到期天数:密码到期告警天数:

who     //查看当前登录用户

w      //查看系统信息，某一时刻的用户行为

uptime      //查看登录时长，登录多少用户，负载

入侵排查

查看特权用户（uid=0）

awk -F: '$3==0{print $1}' /etc/passwd

查询可以远程登录的账号信息

awk '/\$1|\$6/{print $1}' /etc/shadow

查询是否存在除root账户外的sudo账号

more /etc/sudoers |grep -v "^#\|^$" | grep "ALL=(ALL)"

删除账户

usermod -L username       //禁用用户
userdel username          //删除用户
userdel -r username       //删除用户并删除用户目录

历史命令

history

进程

netstat -antlp | more           //查看可疑进程
ls -l /proc/$pid/exe或者file    //查看对应进程的文件路径
ps -aux | grep $pid            //查找可疑pid的进程

定时任务

crontab -l                     //列出某个用户的定时任务
crontab -r                     //删除所有定时任务
crontab -e                     //使用编辑器编辑定时任务
* * * * * command              //分，时，日，月，周，命令
重点关注目录
/var/spool/cron/ 
/etc/crontab
/etc/cron.d/
/etc/cron.daily/
/etc/cron.hourly/
/etc/cron.monthly/
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/

查看日志

/var/log          //日志默认路径

| 日志路径 | /var/log/cron |
|/var/log/cron|记录系统定时任务日志|
| /var/log/cpus |记录系统在开机时的内核自检 |

日志路径	/var/log/cron
/var/log/cron	记录系统定时任务日志
/var/log/cpus	记录系统开机的内核自检
/var/log/maillog	记录邮件信息
/var/log/message	记录系统重要信息，出事首先看这个
/var/log/btmp	记录错误登录日志，这是二进制文件，要用lastb命令
/var/log/lastlog	记录系统最后一次登录时间，同上
/var/log/wtmp	记录所有用户的登录，注销和系统启动，重启，关机的信息。要用last命令查看
/var/log/utmp	记录已经登录的用户信息，用w命令
/var/log/secure	记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中

日志分析技巧

1. 查看有多少个IP在爆破root

 grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

2. 查看有多少个IP在爆破

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

3. 查看登录成功的IP

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

4. 登录成功的日期，用户名，IP

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

工具使用

Rootkit查杀

1. chkrootkit

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz
cd chkrootkit-0.52
make sense
#编译完成没有报错的话执行检查
./chkrootkit

2. rkhunter

Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz
tar -zxvf rkhunter-1.4.4.tar.gz
cd rkhunter-1.4.4
./installer.sh --install
rkhunter -c

病毒查杀

1. Clamav

#安装
yum install -y clamav
#更新病毒库
freshclam
#扫描方法
clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log
clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log
clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log
#扫描并杀毒
clamscan -r  --remove  /usr/bin/bsd-port
clamscan -r  --remove  /usr/bin/
clamscan -r --remove  /usr/local/zabbix/sbin
#查看日志发现
cat /root/usrclamav.log |grep FOUND

1、安装zlib：
wget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz 
tar -zxvf  zlib-1.2.7.tar.gz
cd zlib-1.2.7
#安装一下gcc编译环境： yum install gcc
CFLAGS="-O3 -fPIC" ./configure --prefix= /usr/local/zlib/
make && make install

2、添加用户组clamav和组成员clamav：
groupadd clamav
useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav

3、安装Clamav
tar –zxvf clamav-0.97.6.tar.gz
cd clamav-0.97.6
./configure --prefix=/opt/clamav --disable-clamav -with-zlib=/usr/local/zlib
make
make install

4、配置Clamav
mkdir /opt/clamav/logs
mkdir /opt/clamav/updata
touch /opt/clamav/logs/freshclam.log
touch /opt/clamav/logs/clamd.log
cd /opt/clamav/logs
chown clamav:clamav clamd.log
chown clamav:clamav freshclam.log

5、ClamAV 使用：
 /opt/clamav/bin/freshclam 升级病毒库
./clamscan –h 查看相应的帮助信息
./clamscan -r /home  扫描所有用户的主目录就使用
./clamscan -r --bell -i /bin  扫描bin目录并且显示有问题的文件的扫描结果

Linux检查脚本

https://github.com/grayddq/GScan

https://github.com/ppabc/security_check

https://github.com/T0xst/linux