Linux应急响应

1.排查账号

进行linux应急响应，首先你得优先查看是否多出来了管理员

（1）查询特权用户特权用户(uid 为0)

awk -F: '$3==0{print $1}' /etc/passwd

（2）查询进行远程链接的账号信息

awk '/\$1|\$6/{print $1}' /etc/shadow

（3）排查其余账号是否拥有sudo权限

more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

若你的账户出现了：

%admin ALL=(ALL) ALL

那就证明你的服务器开设了很大权限给别的用户，所有账户都有sudo的权限，那就必须尽快修改。

（4）删除可疑账号命令：

userdel user

 2.历史排查 

在linux应急响应中，如果你的服务器没有多出来的账户，那就再查看一手历史命令

# 清空历史命令并清空当前登录会话执行命令
echo > $home./bash_history

虽然大概率历史命令都会被黑客排查出来删除（上述），但是万一黑客没注意历史命令呢？

 查看历史命令：

history

保存历史命令： 

进入用户目录下
cat .bash_history >> history.txt

3.进程排查

经过了前两步的排查，只能说黑客隐藏的很好，此时应该进行进程排查：

ps aux | grep pid

 进程排查非常重要，

 若是发现有某些特别大的未知进程，比较烧CPU的，那就证明你的服务器可能已经被拉去挖矿了

4.端口排查

sudo netstat -an   # 显示所有当前的网络连接（包括TCP和UDP）

sudo lsof -i :端口号   # 查看占用特定端口号的进程情况

5.查看系统日志

系统日志中也会记录用户的登录活动和执行的命令。关键的日志文件通常位于/var/log目录下，重点审核的系统日志：

cat /var/log/auth.log   # 查看认证日志，记录用户的登录和退出

cat /var/log/utmp

#记录当前已经登录的用户信息，这个文件会随着用户的登录和注销不断变化，只记录当前登
录用户的信息。同样这个文件不能直接vi，而要使用w,who,users等命令来查询 

cat /var/log/secure

 记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换
用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中。

cat /var/log/message

 记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息，如果系
统出现问题时，首先要检查的就应该是这个日志文件

这里着重查看用户的登录/var/log/secure活动和执行的命令，可以查看到攻击的地方，可以更好地排查。

但是这块通常会被黑客重点关注：

truncate -s 0 logfile.log

来一条这个命令估计就老实了，直接把文件日志清空，但是这个动静比较大，一般都是把近一个小时内的系统文件日志删除：

（1）. 查找指定时间范围内的日志文件

使用find命令查找特定时间范围内修改过的文件，例如查找60分钟（1小时）内修改过的文件：

sudo find /var/log -type f -mmin -60

• /var/log：这里是日志文件通常存储的目录，具体路径可能因系统而异。-type f：表示只查找普通文件，排除目录和特殊文件。-mmin -60：表示查找60分钟内修改过的文件。使用-mmin -60表示60分钟内，使用-mmin +60表示60分钟前。

（2）. 删除找到的日志文件

一旦确认找到了需要删除的日志文件，可以将find命令与rm命令结合，进行文件删除操作。

sudo find /var/log -type f -mmin -60 -exec rm {} \;

这条命令会删除/var/log目录下60分钟内修改过的所有普通文件。使用-exec rm {} \;表示对找到的每一个文件执行rm命令。

通过上面的例子：我只是想说linux的排查必须得全面且周全，因为无论历史命令或者文件日志都是可以进行删除的，文件也可以进行隐藏，所以必须细致。

6.自启动排查：

systemctl list-unit-files | grep enabled

7.异常文件排查

1、查看敏感目录，如/tmp目录下的文件，同时注意隐藏文件夹，以“..”为名的文件夹具有隐藏属性
2、得到发现webshell以后可以使用find命令来查找，如 find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前访问过的文件
3、针对可疑文件可以使用stat进行创建修改时间。

8.病毒查杀（工具）

ClamAV的官方下载地址为：http://www.clamav.net/download.html

使用方式：

/opt/clamav/bin/clamscan -r /  

扫描计算机上的所有文件并且显示所有的文件的扫描结果

这里强烈建议使用图形化界面，

ClamTK Virus Scanner

ClamTK本身不是病毒扫描程序，它是一个易于使用的图形界面，用于Linux的ClamAV反病毒

当然还有：

Armadito

Armadito是适用于Windows和Linux的病毒扫描程序，它通过扫描包括恶意软件，特洛伊木马等在内的多种攻击来保护你的计算机。

参考：小雨淅淅o0------<<linux病毒扫描工具ClamAV使用>>

最后，希望文章对各位有所帮助，谢谢！