应急响应基础笔记(二)——应急响应之Linux入侵排查

最新推荐文章于 2024-06-09 21:19:05 发布
最新推荐文章于 2024-06-09 21:19:05 发布
阅读量630 收藏 2
点赞数
分类专栏: 应急响应
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haha13l4/article/details/103067082
版权

(1)账号安全

1、用户信息文件:/etc/passwd


 
 
 
    
  
  1. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     root:
     
     
     x:
     
     
     0
     
     
     :
     
     
     0
     
     
     :root
     
     
     :/root
     
     
     :/bin/bash
    
    
    
    
   
   
   
    2. 
  
  2. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell
    
    
    
    
   
   
   
    3. 
  
  3. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     注意:无密码只允许本机登陆,远程不允许登陆
    
    
    
    
   
   
   
    4.

2、影子文件:/etc/shadow


 
 
 
    
  
  1. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     root:$6$dIEKcGV4PJpr6kGu$jSpNY9SGXkkE3XakM4neFh24UT6G3mB0OCWV3ciTgmtntVEKFZ3Zc5BU69cLXqSBllz/JxA2YRC77xCG9A5YP/:
     
     
     17966:
     
     
     0:
     
     
     99999:
     
     
     7:::
    
    
    
    
   
   
   
    2. 
  
  2. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留
    
    
    
    
   
   
   
    3.

3、who:查看当前登录用户(tty本地登录,pts远程登录)

       w:查看系统信息,某一时刻用户的行为;

       uptime:查看登录多久,多少用户,负载;


 
 
 
    
  
  1. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     [root@redhat 桌面]# who
    
    
    
    
   
   
   
    2. 
  
  2. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     root     tty1         
     
     
     2019
     
     
     -04
     
     
     -15 
     
     
     01:
     
     
     38 (:
     
     
     0)
    
    
    
    
   
   
   
    3. 
  
  3. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     root     pts/
     
     
     0        
     
     
     2019
     
     
     -05
     
     
     -20 
     
     
     13:
     
     
     05 (:
     
     
     0.0)
    
    
    
    
   
   
   
    4. 
  
  4. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     root     pts/
     
     
     3        
     
     
     2019
     
     
     -05
     
     
     -20 
     
     
     14:
     
     
     16 (:
     
     
     0.0)
    
    
    
    
   
   
   
    5. 
  
  5. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     root     pts/
     
     
     10       
     
     
     2019
     
     
     -07
     
     
     -30 
     
     
     14:
     
     
     18 (:
     
     
     0.0)
    
    
    
    
   
   
   
    6. 
  
  6. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     [root@redhat 桌面]# w
    
    
    
    
   
   
   
    7. 
  
  7. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
     
     
     
     14:
     
     
     22:
     
     
     54 up  
     
     
     6:
     
     
     43,  
     
     
     4 users,  load average: 
     
     
     0.00, 
     
     
     0.01, 
     
     
     0.00
    
    
    
    
   
   
   
    8. 
  
  8. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
    
    
    
    
   
   
   
    9. 
  
  9. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     root     tty1     :
     
     
     0               
     
     
     15Apr19 
     
     
     106days  
     
     
     1:
     
     
     06   
     
     
     1:
     
     
     06  /usr/bin/Xorg :
    
    
    
    
   
   
   
    10. 
  
  10. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     root     pts/
     
     
     0    :
     
     
     0.0             
     
     
     20May19 
     
     
     71days  
     
     
     0.14s  
     
     
     0.08s bash
    
    
    
    
   
   
   
    11. 
  
  11. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     root     pts/
     
     
     3    :
     
     
     0.0             
     
     
     20May19 
     
     
     71days  
     
     
     0.39s  
     
     
     0.39s /bin/bash
    
    
    
    
   
   
   
    12. 
  
  12. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     root     pts/
     
     
     10   :
     
     
     0.0             
     
     
     14:
     
     
     18    
     
     
     0.00s  
     
     
     0.42s  
     
     
     0.20s w
    
    
    
    
   
   
   
    13. 
  
  13. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     [root@redhat 桌面]# uptime
    
    
    
    
   
   
   
    14. 
  
  14. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
     
     
     
     14:
     
     
     22:
     
     
     59 up  
     
     
     6:
     
     
     43,  
     
     
     4 users,  load average: 
     
     
     0.00, 
     
     
     0.01, 
     
     
     0.00
    
    
    
    
   
   
   
    15.

4、入侵排查


 
 
 
    
  
  1. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     1、查询特权用户特权用户(uid 为
     
     
     0)
    
    
    
    
   
   
   
    2. 
  
  2. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     [root@redhat 桌面]
     
     
     # awk -F: '$3==0{print $1}' /etc/passwd
    
    
    
    
   
   
   
    3. 
  
  3. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     root
    
    
    
    
   
   
   
    4. 
  
  4. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     yaoyao
    
    
    
    
   
   
   
    5. 
  
  5. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
     
    
    
    
    
   
   
   
    6. 
  
  6. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
   
    7.
最低0.47元/天 解锁文章
haha13l4
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户与shift粘贴键后门、植入WK程序-应急响应靶场
04-06
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户、shift粘贴键后门、植入wakuang程序——对应的应急响应靶场,应急响应教程参考链接:https://wxiaoge.blog.csdn.net/article/details/123897920?spm=1001.2014.3001.5502
linux 应急响应 病毒清除 系统加固
whatday的专栏
11-12 724
概述 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Linux没有像Autorun、procexp这样的应急响应利器,也没有统一的应急响应处理流程。所以,这篇文章将会对Linux环境下的应急响应流程进行讲解,并且提供每一个环节中所用到的shell命令,以帮助大家快速、系统化地处理Linux环境下的病毒。 处理Linux应急响应主要分为这4个环节:识别现象->...
应急响应靶场随练笔记 Day1
最新发布
2302_77018945的博客
06-09 428
又是学校蓝桥杯省奖退的钱还没发的一天,晚上本来是想着打打玄机靶场的,但是清电脑的时候突然发现了之前下的靶机,Windows部分做完之后就准备期末没有再做了(yysy做的简单and有内容),不做完属实可惜,加之官方WP属实是简略到出一定境界了(高情商)所以有了这篇小短文。靶场来源:知攻善防实验室下载地址。
Linux应急响应笔记
程序员小乐
03-12 541
点击上方 "编程技术圈"关注,星标或置顶一起成长后台回复“大礼包”有惊喜礼包!每日英文There's no one that can influence the ...
Linux应急响应笔记(转)
mingyqf的博客
04-05 300
Linux应急响应笔记(转) nobodyshome 2020-09-01 09:12:32 441934 5 背景 客户的监控系统发现有异常行为,我临时顶替应急的同事处理一下。 连接到服务器,首先通过ps auxef 和 netstat -tulnp两个命令查看异常进程信息,果然发现了两个异常进程 xmp 和 [atd] 通过 ls -al /proc/[pid]/exe 查看这两个进程的程序位置,其中[pid]为xmp 和 [atd]两个进程的进程id 最后确认xmp在 /lib/PROXY/ 目录下,
应急响应实战笔记——2020最新版
01-04
入侵排查、日志分析、权限维持、Windows实战、Linux实战、Web实战
[ 应急响应 ] 应急响应实战笔记_2020最新版.rar
02-11
[ 应急响应 ] 应急响应实战笔记_2020最新版.rar 包含文件如下 应急响应实战笔记_2020最新版.pdf 应急响应实战笔记_2020最新版.docx 详细内容如下 入侵排查篇 日志分析篇 权限维持篇 Windows实战篇 Linux实战篇 Web...
应急响应实战笔记_2020最新版.pdf
06-24
整体目录结构共六章,分为技巧篇和实战篇。第1~3章为技巧篇,分别对应入侵排查、日志分析和权限维持,第4~6章为实战篇,包含了Windows/Linux各种病毒木马,web入侵事件溯源处理过程。
应急响应实战笔记.rar
02-14
应急响应实战笔记,包含入侵排查篇:Windows 入侵排查Linux 入侵排查、常见的 Webshell 查杀工具、如何发现隐藏的 Webshell 后门、勒索病毒自救指南;日志分析篇:Windows日志分析、Linux日志分析、Web日志分析、...
应急响应工具集及应急响应实战笔记.zip
08-04
网络安全应急响应工具集及应急响应实战笔记 辅助工具集 进程分析工具集 练手样本集 流量分析工具集 启动项分析工具集 信息收集工具集 专杀工具集 Webshell查杀集 第01章:入侵排查篇 第02章:日志分析篇 第03章:...
一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门对应的应急响应靶场
03-10
暴力破解、替换ps命令、留多个houmen-应急响应靶场,应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/123323981?spm=1001.2014.3001.5501
应急响应基础笔记
zhalang8324的博客
04-26 1239
应急响应笔记基础知识Linux操作系统基础一些常见的命令必须熟悉:ls怎么按照时间排序列出当前目录文件?        ls实现列文件按时间排序        1) ls -lt  时间最近的在前面        2) ls -ltr 时间从前到后stat命令是干嘛的?        显示文件详细信息,访问时间、内容修改时间、状态修改时间lsof的作用是什么?lsof每一列分别代表什么?     ...
Linux 应急响应命令总结,收藏版
Biu_Biu_Bi的博客
04-10 2243
Linux 应急响应命令总结,收藏版
Windows靶机应急响应(一)
流水不争先,争的是滔滔不绝
04-02 1843
Windows靶机应急响应
应急响应——靶场实践
热门推荐
weixin_46601374的博客
04-21 1万+
唉,我可算直到值守每天12小时看警报是多么怨种的一工作,本以为该结束了,结果又加了一天!!!! 还好我没放弃自己,一直在自学东西(也不是我愿意的,这也不是没有办法嘛,大家都太卷了) 那就自学了学应急响应。不得不说,大佬们是真好呀,我才在日报里说我刚过完应急响应的知识,梳理出流程,就有大佬给我发来了——三个靶场,够我挺过这难熬的两天了。 嘿嘿不能辜负大佬的期望,咱就好好表现吧 目录 先搭个靶场 应急响应的过程 排查网络连接 排查历史命令 排查后门账户 查看特权账户 ...
[护网训练]应急响应靶机整理
Liyu_6618的博客
04-09 967
[护网训练]应急响应靶机整理
Linux应急响应基础Linux服务器入侵响应)学习
汗的博客
06-22 754
应急响应常用命令 查找和文本操作 find 根目录下所有.jsp后缀文件 find / -name *.jsp 最近3天修改过的文件 find -type f -mtime -3 最近3天创建的文件 find -type f -ctime -3 grep、strings、more、head、tail 过滤出不带有某个关键词的行并输出行号 grep -nv 'root' /etc/passwd 查看根目录下 含有root信息的文件,并标注行号 grep -nr root / 查看根目录下后缀为.jsp
应急响应 –以me and my girlfriend 靶机为例
qq_58672257的博客
12-13 967
可以看到,只有root用户,但是root用户并没有登录,说明是alice做了一些操作进行了提权。可以看到,我们的ssh被暴力破解了,除了root用户,其他用户登录使用的ip都是88.1。从日志中我们可以发现,存在了越权访问漏洞,导致了alice用户被滥用。从日志中我们可以发现,存在了越权访问漏洞,导致了alice用户被滥用。前面已经进行了靶机的渗透测试,接下来我们以蓝方视角来进行应急响应。.bash_history这个文件是命令历史记录,我们查看一下。查看24小时内,有没有什么文件被修改过。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值