应急响应linux 2

已于 2022-03-27 16:24:22 修改
阅读量1.1k 收藏 4
点赞数
分类专栏: 网络安全CTF比赛 文章标签: 网络安全
于 2022-03-27 16:21:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58199719/article/details/123775013
版权

入侵排查

一、账号安全

1、用户信息文件 /etc/passwd

[root@localhost log]# more /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
..........

2、用户密码信息 /etc/shadow

[root@localhost log]# more /etc/shadow
root:$6$j6cN.441p2YJMt0A$hgGTvO3TyiSXBWDRGC624Ya6no5lPnZG.VMi6Hyjxik1s8PBI8/fos7UmIp8nSWcPHuq.7wrPSMNsUkZyhEn6.::0:99999:7:::
bin:*:18353:0:99999:7:::
sync:*:18353:0:99999:7:::
shutdown:*:18353:0:99999:7:::
........

二、历史命令

home/账号/ ls -a 显示隐藏文件 

more 查看

[root@localhost kali]# more .bash_
.bash_history  .bash_logout   .bash_profile  
[root@localhost kali]# more .bash_history 
sudo su
sudo su
ifconfig 
reb
reboot 
 

三、端口

netstat -antlp|more 查看端口 ip 进程 信息 

查看指定进程信息 及目录信息

root@localhost kali]# ps 1198
   PID TTY      STAT   TIME COMMAND
  1198 ?        Ss     0:00 /usr/sbin/sshd -D
[root@localhost kali]# 

四、系统日志

默认位置 /var/log

 cron 记录了系统定时任务相关的日志

message 记录系统只要信息的日志 

 lastlog 记录系统中用户最后一次登录时间 直接使用命令 不用参数

 secure  记录验证和授权方面的信息 ssh登录 sudo授权 添加用户密码 等等操作、、、、

应急响应Linux
qq_73792226的博客
08-16 1109
【代码】应急响应Linux
应急响应靶机-Linux(2)
tmyzxy1314的博客
06-26 1491
本次应急响应靶机采用的是知攻善防实验室的Linux-2应急响应靶机靶机下载地址为:相关账户密码: root/Inch@957821.(记住要带最后的点.)
应急响应靶机-Linux 2(知攻善防实验室)
qq_42421872的博客
11-17 1827
他让我们提交数据包的flag,我们去root目录下发现一个数据1的文件,直接用wireshark打开,然后ctrl+f选择分组字节流 搜索flag,发现再http中,鼠标右键,追踪流选择http流。我们从bt面板里面看到了他添加了一个网站,我们去看一下他的日志(这里我就不用宝塔面板中的去查看日志了),我们首先去/www/wwwlogs目录下127.0.0.1.log 查看一下日志。我们先从数据包过滤http的请求,然后发现了跟version2.php的请求,然后鼠标右键,追踪流选择http流。
Linux应急响应
qq_68727073的博客
06-15 1505
1.木马后门事件2.异常登录事件3.钓鱼邮件事件4.漏洞攻击事件5.暴力破解事件6.数据窃取事件7.拒绝服务事件一级事件演戏目标被控制,安全红色预警,一级响应二级事件重要系统或者设备被控制,安全红色预警,一级响应三级事件内网一般设备被控制,安全橙色预警,二级响应四级事件MDZ区一般设备被控制,安全橙色预警,三级响应五级事件DMZ区设备遭到攻击或内网终端遭到攻击,安全黄色预警,三级响应。
Linux 应急响应手册v1.8 发行版.zip
07-24
Linux应急手册》是一本为Linux系统管理员和运维工程师量身打造的...本书内容涵盖了Linux系统安全、性能优化、故障排查等多个方面,通过丰富的实战案例和详细的操作步骤,帮助读者掌握Linux应急响应的核心技能和知识。
最新Linux 应急响应手册v1.8 发行版
01-11
最新Linux 应急响应手册v1.8 发行版
Linux 应急响应手册v1.3 发行版-s1
08-04
Linux 应急响应手册v1.3 发行版-s1 本手册旨在提供 Linux 操作系统的应急响应指南,帮助用户快速处理常见的安全事件和故障排除。下面是从本手册中提取的关键知识点: Linux 应急响应 * 应急响应手册v1.3 发行版-...
Linux &Windows应急响应手册.pdf
12-08
Linux &Windows应急响应手册.pdf
Linux应急响应工具箱
03-31
在IT领域,Linux应急响应是处理系统安全事件的关键环节,特别是在面临恶意软件攻击或系统被入侵的情况下。"Linux应急响应工具箱"是一个集合了多种工具和脚本的资源,旨在帮助管理员快速、有效地分析和应对安全问题。...
应急响应靶机训练-Linux2题解
Liyu_6618的博客
03-30 1154
应急响应靶机训练-Linux2题解
【渗透测试入门】Linux应急响应(蓝队入门)
CheAyuki13的博客
07-16 1598
rootkit主要有两种类型文件级别和内核级别。文件级别的rootkit一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等。内核级rootkit。...
Linux应急响应——知攻善防应急靶场-Linux(1)
本散修的一些学习心得与笔记,道友请自便。
06-23 1503
Linux应急响应靶机 1 前景需要: 小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!! 挑战内容: 黑客的IP地址 遗留下的三个flag
应急响应靶场练习Linux-web-2
tddkett的博客
08-17 1482
本次应急响应靶机采用的是知攻善防实验室的Linux-2应急响应靶机靶机下载地址为:相关账户密码: root/Inch@957821.(第一个为大写的i,记住要带最后的点.)1.该攻击者的IP为192.168.20.12.攻击方式应该是通过/index.php?user-app-register上传了一个webshell,然后使用蚁剑管理webshell之后再次上传version2.php进行提权.3.攻击者修改了phpmyadmin数据库的管理员密码。
应急响应主机-linux2-知攻善防实验室
m0_62840741的博客
09-01 891
看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!!
应急响应靶机——linux2
最新发布
weixin_73049307的博客
11-23 1710
发现POST了一个version2.php,此时回想起history命令得到的结果中显示了删除version2.php的命令记录,version2.php应该是木马文件?居然是没有图形化界面的那种linux,账户密码:root/Inch@957821.(注意是大写的i还有英文字符的.)user-app-register。发现在隐藏目录.api/中修改了mpnotify.php和alinotify.php文件。发现在流1是一堆乱码,流2中第一次看到正常的报文,url解码流2的关键代码。
Linux 应急响应命令总结,收藏版
Biu_Biu_Bi的博客
04-10 3197
Linux 应急响应命令总结,收藏版
Hvv--知攻善防应急响应靶机--Linux2
GDL1411983801的博客
06-12 2099
所有靶机均来自知攻善防实验室官方WP:https://mp.weixin.qq.com/s/opj5dJK7htdawkmLbsSJiQ蓝队应急响应工具箱:夸克网盘:https://pan.quark.cn/s/6d7856efd1d1#/list/share百度云盘:https://pan.baidu.com/s/1ZyrDPH6Ji88w9IJMoFpANA?pwd=ilzn网站日志PHPMyadmin | md5加密注册页面被挂🐎WireShark冰蝎Webshell流量特征。
应急响应Linux下的关键命令解析
在实际操作中,Linux系统中的命令是应急响应人员的有力工具。" 在应急响应中,首先要做的是收集信息。这包括了解告警信息,收集客户反馈,获取设备和主机的详细信息。接着,通过这些信息判断安全事件的类型,以便...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小晨_WEB

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值