2024年最全Linux环境入侵应急与排查_linux查看uid为0的账号(2)

最新推荐文章于 2024-05-03 22:29:47 发布
最新推荐文章于 2024-05-03 22:29:47 发布
阅读量1k 收藏 26
点赞数 8
分类专栏: 程序员 文章标签: linux chrome 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57888926/article/details/138361298
版权

awk ‘/$1|$6/{print $1}’ /etc/shadow

除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限:

more /etc/sudoers | grep -v “#|$” | grep “ALL=(ALL)”

禁用或删除多余及可疑的帐号

usermod -L user # 禁用帐号,帐号无法登录,/etc/shadow 第二栏为 ! 开头
userdel user # 删除 user 用户
userdel -r user # 将删除 user 用户,并且将 /home 目录下的 user 目录一并删除
通过.bash_history文件查看帐号执行过的系统命令:

打开 /home 各帐号目录下的 .bash_history,查看普通帐号执行的历史命令。
为历史的命令增加登录的 IP 地址、执行命令时间等信息:

1、保存1万条命令:

sed -i ‘s/^HISTSIZE=1000/HISTSIZE=10000/g’ /etc/profile

2、在/etc/profile的文件尾部添加如下行数配置信息:

USER_IP=who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'
if [ “$USER_IP” = “” ]
then
USER_IP=hostname
fi
export HISTTIMEFORMAT="%F %T $USER_IP whoami "
shopt -s histappend
export PROMPT_COMMAND=“history -a”

3、让配置生效

source /etc/profile
注意:历史操作命令的清除:history -c
该操作并不会清除保存在文件中的记录,因此需要手动删除.bash_profile文件中的记录
三、检查端口连接情况:

netstat -antlp | more

使用 ps 命令,分析进程,得到相应pid号:
ps aux | grep 6666

查看 pid 所对应的进程文件路径:

最低0.47元/天 解锁文章
面试全能
关注
  • 8
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
非常详细的/etc/passwd解释
01-07 3773
root:x:0:0:root:/root:/bin/bash   bin:x:1:1:bin:/bin:/sbin/nologin   daemon:x:2:2:daemon:/sbin:/sbin/nologin   desktop:x:80:80:desktop:/var/lib/menu/kde:/sbin/nologin   mengqc:x:500:500:me...
CentOS7-查询特权用户特权用户(使用 awk 查询/etc/passwd 文件中uid为0的用户)
weixin_44257023的博客
03-29 640
【代码】CentOS7-查询特权用户特权用户(使用 awk 查询/etc/passwd 文件中uid为0的用户)
Linux_权限管理-用户组管理
qq_31455841的博客
11-24 1013
权限管理-用户组管理 1. Linux用户介绍 1. 用户的概念 用户对硬件资源的操作都需要通过操作系统,比如用户要读取硬盘中的一份关键数据,出于安全考虑,操作系统的开发者们都专门开发了安全机制,要使用操作系统必须事先输入正确的用户名与密码,这便是用户的由来 2. 创建用户的目的 # 主要就是权限问题 1. 系统上的每一个进程,都需要一个特定的用户运行 一个用户拥有特定的权限,该用户运行的进程与用户权限一致 2. 通常在公司是使用普通用户管理服务器,因为root权限过大,容易出
Linux应急响应入门——入侵排查
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
01-08 686
点击上方“开源Linux”,选择“设为星标” 回复“学习”获取独家整理的学习资料! 账号安全:1、用户信息文件/etc/passwd#格式:account:password:UID:...
统计系统uid为0的用户数
bjgaocp的博客
12-07 912
awk -F: '{if($3==0){a++} else{i++}} END{print "管理员个数: "a ;print "系统用户: "i}' /etc/passwd
2024最全Linux环境入侵应急排查_linux查看uid为0的账号(1)
05-01 1012
ID为对应的pid号ls−lprocPID 为对应的 pid 号ls -l /proc/PID为对应的pid号ls−l/proc/PID/exe 或 file /proc/$PID/exe。
2024Linux最新Linux环境入侵应急排查_linux查看uid为0的账号(1),2024最新想找工作的你还不看这份资料就晚了
最新发布
05-03 941
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化的资料的朋友,可以点击这里获取!一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!USER_IP= if [ “$USER_IP” = “” ] then USER_IP= fi export HISTTIMEFORMAT="%F %T $U
【愚公系列】202402月 《网络安全应急管理与技术实践》 012-网络安全应急技术与实践(Web层-SQL注入)
时光隧道
02-09 4万+
Web层攻击分析与应急响应演练是指对Web应用程序进行攻击分析,发现潜在的漏洞和安全威胁,并在发生安全事件时能够迅速做出应急响应措施的过程。进行Web层攻击分析是为了了解Web应用程序存在的弱点和漏洞,从而提前对其进行修复和加固。攻击分析可以包括对Web应用程序进行安全扫描、漏洞评估和渗透测试等活动,通过模拟真实攻击场景,发现可能被黑客利用的漏洞,如SQL注入、跨站点脚本攻击(XSS)、跨站点请求伪造(CSRF)等。攻击分析的目的是为了及早发现和修复潜在的安全问题,确保Web应用程序的安全性。
应急响应】Linux入侵排查思路
09-18
急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应...
Linux 应急响应入门——入侵排查.doc
01-20
Linux 应急响应入门——入侵排查 Linux 应急响应入门——入侵排查是指在 Linux 系统中检测和响应入侵活动的技术和方法。本文档将详细介绍 Linux 应急响应入门——入侵排查的基本概念、核心技术和应用场景。 一、...
Windows环境黑客入侵应急排查.pdf
07-05
Windows环境黑客入侵应急排查
Linux入侵排查.docx
05-07
Linux入侵排查
Linux应急响应排查基础.zip
02-11
Linux应急响应排查基础 包含如下7分文档 数据采集.docx history.docx 日志查看命令.docx PS.docx linux应急响应checkList.docx Linux应急响应.docx Linux日志系统.docx
Linux系统下如果查看用户的UID和GID
热门推荐
LingXiaokai的博客
04-10 5万+
方法一:使用 id 命令  使用 id 命令可以很轻松的通过用户名查看UID、GID,下面来讲解一下这个命令的用法。 命令格式 [plain] view plain copy id [选项]... [用户名]   命令选项 -a 忽略,兼容其它版本-Z, –context 只输出当前用户的安全上下文-g, –group
Linux应急响应辅助排查脚本
10-20
Linux应急响应辅助排查脚本 一键运行导出日志 将该脚本下载并移动到Linux任意文件夹,以root权限运行即可导出result.log辅助快速应急响应主机排查。 可使用此脚本用于分析日常服务器差异及被攻击行为。
Linux操作系统安全及入侵排查
09-30
课程还介绍了针对系统入侵应急排查步骤和要求,主要涉及的排查内容包括:检查系统日志及命令记录 、检查账户、检查文件、检查系统启动项和计划任务、检查进程和网络连接、检查是否存留后门等恶意程序,根据上述...
服务器入侵应急响应,服务器入侵应急响应排查Linux篇)
05-19
服务器入侵应急响应是指当服务器遭受攻击或入侵后,及时采取对应的应急响应措施,阻止攻击者继续伤害或获取服务器数据。下面介绍一下 Linux 系统下的服务器入侵应急响应排查方法: 1. 收集信息:首先需要确定是否存在入侵,需要收集服务器日志、网络流量、进程信息等,可以使用一些工具如 tcpdump、iftop、lsof 等进行收集。 2. 初步判断:根据收集到的信息,初步判断入侵行为。比如是否存在异常登录记录、异常进程、异常文件等。 3. 隔离服务器:如果确认服务器已经被入侵,需要隔离服务器,避免攻击者继续获取服务器数据或者扩大攻击范围。 4. 恢复系统:根据入侵情况,选择合适的方法进行系统恢复。比如清除异常文件、升级补丁、重装系统等。 5. 处理数据:如果数据被攻击者获取,需要对获取的数据进行处理,比如修改密码、更改敏感信息等。 6. 预防措施:针对入侵事件,需要总结经验,加强服务器安全防护措施,避免再次遭遇相似的攻击。 在进行服务器入侵应急响应排查时,需要注意安全问题,避免泄露敏感信息。建议在排查过程中使用专业的安全工具和方法,如有疑问可以寻求安全专家的帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值