应急响应基础笔记(二)——应急响应之Linux入侵排查

最新推荐文章于 2024-09-24 00:19:20 发布
最新推荐文章于 2024-09-24 00:19:20 发布
阅读量661 收藏 2
点赞数
分类专栏: 应急响应
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haha13l4/article/details/103067082
版权
本文主要介绍了Linux系统的应急响应和入侵排查方法,包括账号安全检查、历史命令审查、异常端口和进程的监测、定时任务分析、自启动服务的核查以及异常文件和系统日志的审查,旨在提升系统安全防护能力。
摘要由CSDN通过智能技术生成

(1)账号安全

1、用户信息文件:/etc/passwd


 
 
 
    
  
  1. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     root:
     
     
     x:
     
     
     0
     
     
     :
     
     
     0
     
     
     :root
     
     
     :/root
     
     
     :/bin/bash
    
    
    
    
   
   
   
    2. 
  
  2. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell
    
    
    
    
   
   
   
    3. 
  
  3. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     注意:无密码只允许本机登陆,远程不允许登陆
    
    
    
    
   
   
   
    4.

2、影子文件:/etc/shadow


 
 
 
    
  
  1. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     root:$6$dIEKcGV4PJpr6kGu$jSpNY9SGXkkE3XakM4neFh24UT6G3mB0OCWV3ciTgmtntVEKFZ3Zc5BU69cLXqSBllz/JxA2YRC77xCG9A5YP/:
     
     
     17966:
     
     
     0:
     
     
     99999:
     
     
     7:::
    
    
    
    
   
   
   
    2. 
  
  2. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留
    
    
    
    
   
   
   
    3.

3、who:查看当前登录用户(tty本地登录,pts远程登录)

       w:查看系统信息,某一时刻用户的行为;

       uptime:查看登录多久,多少用户,负载;


 
 
 
    
  
  1. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     [root@redhat 桌面]# who
    
    
    
    
   
   
   
    2. 
  
  2. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     root     tty1         
     
     
     2019
     
     
     -04
     
     
     -15 
     
     
     01:
     
     
     38 (:
     
     
     0)
    
    
    
    
   
   
   
    3. 
  
  3. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     root     pts/
     
     
     0        
     
     
     2019
     
     
     -05
     
     
     -20 
     
     
     13:
     
     
     05 (:
     
     
     0.0)
    
    
    
    
   
   
   
    4. 
  
  4. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     root     pts/
     
     
     3        
     
     
     2019
     
     
     -05
     
     
     -20 
     
     
     14:
     
     
     16 (:
     
     
     0.0)
    
    
    
    
   
   
   
    5. 
  
  5. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     root     pts/
     
     
     10       
     
     
     2019
     
     
     -07
     
     
     -30 
     
     
     14:
     
     
     18 (:
     
     
     0.0)
    
    
    
    
   
   
   
    6. 
  
  6. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     [root@redhat 桌面]# w
    
    
    
    
   
   
   
    7. 
  
  7. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
     
     
     
     14:
     
     
     22:
     
     
     54 up  
     
     
     6:
     
     
     43,  
     
     
     4 users,  load average: 
     
     
     0.00, 
     
     
     0.01, 
     
     
     0.00
    
    
    
    
   
   
   
    8. 
  
  8. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
    
    
    
    
   
   
   
    9. 
  
  9. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     root     tty1     :
     
     
     0               
     
     
     15Apr19 
     
     
     106days  
     
     
     1:
     
     
     06   
     
     
     1:
     
     
     06  /usr/bin/Xorg :
    
    
    
    
   
   
   
    10. 
  
  10. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     root     pts/
     
     
     0    :
     
     
     0.0             
     
     
     20May19 
     
     
     71days  
     
     
     0.14s  
     
     
     0.08s bash
    
    
    
    
   
   
   
    11. 
  
  11. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     root     pts/
     
     
     3    :
     
     
     0.0             
     
     
     20May19 
     
     
     71days  
     
     
     0.39s  
     
     
     0.39s /bin/bash
    
    
    
    
   
   
   
    12. 
  
  12. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     root     pts/
     
     
     10   :
     
     
     0.0             
     
     
     14:
     
     
     18    
     
     
     0.00s  
     
     
     0.42s  
     
     
     0.20s w
    
    
    
    
   
   
   
    13. 
  
  13. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     [root@redhat 桌面]# uptime
    
    
    
    
   
   
   
    14. 
  
  14. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
     
     
     
     14:
     
     
     22:
     
     
     59 up  
     
     
     6:
     
     
     43,  
     
     
     4 users,  load average: 
     
     
     0.00, 
     
     
     0.01, 
     
     
     0.00
    
    
    
    
   
   
   
    15.

4、入侵排查


 
 
 
    
  
  1. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     1、查询特权用户特权用户(uid 为
     
     
     0)
    
    
    
    
   
   
   
    2. 
  
  2. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     [root@redhat 桌面]
     
     
     # awk -F: '$3==0{print $1}' /etc/passwd
    
    
    
    
   
   
   
    3. 
  
  3. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     root
    
    
    
    
   
   
   
    4. 
  
  4. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
    
     
     
     yaoyao
    
    
    
    
   
   
   
    5. 
  
  5. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
    
     
    
    
    
    
   
   
   
    6. 
  
  6. 
   
   
   
    
    
    
    
    
   
   
   
    
   
   
   
    
    
    
   
    7.
最低0.47元/天 解锁文章
haha13l4
关注
专栏目录
应急响应实战笔记+linux、windows加固手册(建议收藏@@@)
08-07
应急响应实战笔记+linux、windows加固手册,详细讲述了linux、windows加固方法和应急响应流程,值得收藏
应急响应实战笔记——2020最新版
01-04
入侵排查、日志分析、权限维持、Windows实战、Linux实战、Web实战
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户与shift粘贴键后门、植入WK程序-应急响应靶场
04-06
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户、shift粘贴键后门、植入wakuang程序——对应的应急响应靶场,应急响应教程参考链接:https://wxiaoge.blog.csdn.net/article/details/123897920?spm=1001.2014.3001.5502
linux 应急响应 病毒清除 系统加固
whatday的专栏
11-12 763
概述 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Linux没有像Autorun、procexp这样的应急响应利器,也没有统一的应急响应处理流程。所以,这篇文章将会对Linux环境下的应急响应流程进行讲解,并且提供每一个环节中所用到的shell命令,以帮助大家快速、系统化地处理Linux环境下的病毒。 处理Linux应急响应主要分为这4个环节:识别现象->...
9,应急响应
最新发布
m0_64040060的博客
09-24 438
2.查看是否有新增可登录用户 cat /etc/passwd | grep -E 'sh' cat /etc/shadow | grep -E '(\$1|\$6)'3.查看历史命令 history history -c 对应的用户 cat /home/user_name/.bash_history rm。5.查看进程 ls -al /proc/pid/exe ps aux | grep pid。6.启动项 rc.local rc/rc[0-6].d。j) 查看当前登录的用户(query user)
Linux应急响应笔记
程序员小乐
03-12 556
点击上方 "编程技术圈"关注,星标或置顶一起成长后台回复“大礼包”有惊喜礼包!每日英文There's no one that can influence the ...
Linux应急响应笔记(转)
mingyqf的博客
04-05 705
Linux应急响应笔记(转) nobodyshome 2020-09-01 09:12:32 441934 5 背景 客户的监控系统发现有异常行为,我临时顶替应急的同事处理一下。 连接到服务器,首先通过ps auxef 和 netstat -tulnp两个命令查看异常进程信息,果然发现了两个异常进程 xmp 和 [atd] 通过 ls -al /proc/[pid]/exe 查看这两个进程的程序位置,其中[pid]为xmp 和 [atd]两个进程的进程id 最后确认xmp在 /lib/PROXY/ 目录下,
应急响应工具集及应急响应实战笔记.zip
08-04
网络安全应急响应工具集及应急响应实战笔记 辅助工具集 进程分析工具集 练手样本集 流量分析工具集 启动项分析工具集 信息收集工具集 专杀工具集 Webshell查杀集 第01章:入侵排查篇 第02章:日志分析篇 第03章:...
[ 应急响应 ] 应急响应实战笔记_2020最新版.rar
02-11
[ 应急响应 ] 应急响应实战笔记_2020最新版.rar 包含文件如下 应急响应实战笔记_2020最新版.pdf 应急响应实战笔记_2020最新版.docx 详细内容如下 入侵排查篇 日志分析篇 权限维持篇 Windows实战篇 Linux实战篇 Web...
应急响应实战笔记_2020最新版.pdf
06-24
整体目录结构共六章,分为技巧篇和实战篇。第1~3章为技巧篇,分别对应入侵排查、日志分析和权限维持,第4~6章为实战篇,包含了Windows/Linux各种病毒木马,web入侵事件溯源处理过程。
一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门对应的应急响应靶场
03-10
暴力破解、替换ps命令、留多个houmen-应急响应靶场,应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/123323981?spm=1001.2014.3001.5501
应急响应基础笔记
zhalang8324的博客
04-26 1272
应急响应笔记基础知识Linux操作系统基础一些常见的命令必须熟悉:ls怎么按照时间排序列出当前目录文件?        ls实现列文件按时间排序        1) ls -lt  时间最近的在前面        2) ls -ltr 时间从前到后stat命令是干嘛的?        显示文件详细信息,访问时间、内容修改时间、状态修改时间lsof的作用是什么?lsof每一列分别代表什么?     ...
应急响应靶机-linux1-知攻善防实验室
m0_62840741的博客
08-21 594
小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!!
Linux应急响应靶机 2
qq_48904485的博客
06-28 990
看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!!1,提交攻击者IP2,提交攻击者修改的管理员密码(明文)3,提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)3,提交Webshell连接密码4,提交数据包的flag15,提交攻击者使用的后续上传的木马文件名称6,提交攻击者隐藏的flag27,提交攻击者隐藏的flag3。
Linux 应急响应命令总结,收藏版
Biu_Biu_Bi的博客
04-10 3055
Linux 应急响应命令总结,收藏版
Linux应急响应——知攻善防应急靶场-Linux(1)
本散修的一些学习心得与笔记,道友请自便。
06-23 1153
Linux应急响应靶机 1 前景需要: 小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!! 挑战内容: 黑客的IP地址 遗留下的三个flag
知攻善防应急靶场-Linux(2)
m0_63138919的博客
03-24 1999
本文章参考qax的网络安全应急响应和知攻善防实验室靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
Windows靶机应急响应(一)
流水不争先,争的是滔滔不绝
04-02 2232
Windows靶机应急响应
安全事件应急响应Linux与Windows入侵排查指南
"病毒查杀-联想e15 全系列笔记本电脑节能认证证书" 本文主要介绍了在Linux系统中进行Rootkit检测和病毒查杀的...同时,项目还涵盖了Windows服务器的入侵排查思路,对于全面理解网络安全应急响应有着重要的参考价值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值