应急响应linux 2

已于 2022-03-27 16:24:22 修改
阅读量1k 收藏 3
点赞数
分类专栏: 网络安全CTF比赛 文章标签: 网络安全
于 2022-03-27 16:21:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58199719/article/details/123775013
版权

入侵排查

一、账号安全

1、用户信息文件 /etc/passwd

[root@localhost log]# more /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
..........

2、用户密码信息 /etc/shadow

[root@localhost log]# more /etc/shadow
root:$6$j6cN.441p2YJMt0A$hgGTvO3TyiSXBWDRGC624Ya6no5lPnZG.VMi6Hyjxik1s8PBI8/fos7UmIp8nSWcPHuq.7wrPSMNsUkZyhEn6.::0:99999:7:::
bin:*:18353:0:99999:7:::
sync:*:18353:0:99999:7:::
shutdown:*:18353:0:99999:7:::
........

二、历史命令

home/账号/ ls -a 显示隐藏文件 

more 查看

[root@localhost kali]# more .bash_
.bash_history  .bash_logout   .bash_profile  
[root@localhost kali]# more .bash_history 
sudo su
sudo su
ifconfig 
reb
reboot 
 

三、端口

netstat -antlp|more 查看端口 ip 进程 信息 

查看指定进程信息 及目录信息

root@localhost kali]# ps 1198
   PID TTY      STAT   TIME COMMAND
  1198 ?        Ss     0:00 /usr/sbin/sshd -D
[root@localhost kali]# 

四、系统日志

默认位置 /var/log

 cron 记录了系统定时任务相关的日志

message 记录系统只要信息的日志 

 lastlog 记录系统中用户最后一次登录时间 直接使用命令 不用参数

 secure  记录验证和授权方面的信息 ssh登录 sudo授权 添加用户密码 等等操作、、、、

小晨_WEB
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux 用户禁止登陆,禁止Linux用户登录方法
weixin_34294809的博客
04-28 4178
我们在做系统维护的时候,希望个别用户或者所有用户不能登录系统,保证系统在维护期间正常运行。这个时候我们就要禁止用户登录。1、禁止个别用户登录。比如禁止lynn用户登录。passwd -l lynn这就话的意思是锁定lynn用户,这样该用户就不能登录了。passwd -u lynn对锁定的用户lynn进行解锁,用户可登录了。2、我们通过修改/etc/passwd文件中用户登录的shellvi /et...
Linux目录、文件管理和vim
weixin_47622405的博客
09-28 394
Linux目录、文件管理和vim
awk命令
Young_Linux的博客
03-15 429
awk命令awk也是流式编辑器,针对文档中的行和段进行操作 awk可以分为几个部分:匹配字符或者字符串截取文档中的某一段条件操作符数学运算内置变量实例1:head -n2 test.txt|awk -F ':' '{print $1}'head -n2 test.txt|awk -F ':' '{print $0}'awk -F ':' '{print $1"#"$2"#"$3"#"$4}'awk...
shell相关1-----/sbin/nologin理解
JustMeLan的专栏
07-28 1035
/etc/passwd中的每个用户都被指定了使用哪个shell,最常见的两种 1./sbin/nologin 2./bin/bash 后者很好理解,就是系统使用bash shell环境登录。   所以主要学习了/sbin/nologin,并对此进行描述。   若某个账号使用了/sbin/nologin,则此时无法登录系统,即使给了密码也不行。系统账号一般都是使用这它.所谓“无法登...
shell脚本工具之grep命令
weixin_34404393的博客
03-19 213
   grep(缩写来自Globally search a Regular Expression and Print)是Linux系统的一种强大的文本搜索工具,它能使用正则表达式搜索文本,并把匹配的行打印出来.egrep和fgrep都是grep的扩展,支持更多的re元字符,fgrep就是fixed grep或fast grep.linux使用GNU版本的grep,它功能更强,可以通过-G、-E、-...
linux应急响应
Windy's blog
02-16 526
linux应急响应
Linux应急响应工具箱
03-31
在IT领域,Linux应急响应是处理系统安全事件的关键环节,特别是在面临恶意软件攻击或系统被入侵的情况下。"Linux应急响应工具箱"是一个集合了多种工具和脚本的资源,旨在帮助管理员快速、有效地分析和应对安全问题。...
Linux &Windows应急响应手册.pdf
12-08
Linux &Windows应急响应手册.pdf
Linux应急响应辅助排查脚本
10-20
Linux应急响应辅助排查脚本 一键运行导出日志 将该脚本下载并移动到Linux任意文件夹,以root权限运行即可导出result.log辅助快速应急响应主机排查。 可使用此脚本用于分析日常服务器差异及被攻击行为。
最新Linux 应急响应手册v1.8 发行版
01-11
最新Linux 应急响应手册v1.8 发行版
Linux应急响应流程及实战演练
02-03
Linux应急响应流程及实战演练,有需要的可以仔细阅读,里面的流程很详细,很不错!
非常详细的/etc/passwd解释
01-07 3811
root:x:0:0:root:/root:/bin/bash   bin:x:1:1:bin:/bin:/sbin/nologin   daemon:x:2:2:daemon:/sbin:/sbin/nologin   desktop:x:80:80:desktop:/var/lib/menu/kde:/sbin/nologin   mengqc:x:500:500:me...
Linux的正则表达式grep,egrep
renpingsheng66的博客
06-03 347
一、概念 正则表达式是对字符串操作的一种逻辑公式,用事先定义好的一组特殊字符,组成一个“规则字符集合”,根据用户指定的文本模式对目标文件进行逐行搜索匹配,显示能被模式匹配到的结果。 给定一个正则表达式和另一个目标字符串,我们可以从给定的字符串中通过匹配模型,过滤字符串中不想要的的字符串,得到目标字符串,减少工作量。 常用的正则表达式一般分为基本正则表达式grep和扩展正则表达式egr...
Linux命令+shell脚本大全:Linux 的安全性
Lee达森的博客
07-18 503
etc/passwd文件,它包含了一些与用户有关的信息。下面是Linux系统上典型的/etc/passwd文件的。你可能已经注意到/etc/passwd文件中还有很多用户登录名和UID之外的信息。你能在此例中看到,useradd命令创建了新HOME目录,并将/etc/skel目录中的文件复制了过来。chfn命令提供了在/etc/passwd文件的备注字段中存储信息的标准方法。进,用心不良的人开始忙于破解存储在/etc/passwd文件中的密码。它能用来修改/etc/passwd文件中的大部。...
linux中的grep和egrep命令,Linux之grep和egrep命令总结
weixin_36046702的博客
05-09 294
grep / egrep语法: grep [-cinvABC] 'word' filename-c :打印符合要求的行数-i :忽略大小写-n :在输出符合要求的行的同时连同行号一起输出-v :打印不符合要求的行-A :后跟一个数字(有无空格都可以),例如 A2则表示打印符合要求的行以及下面两行-B :后跟一个数字,例如 B2 则表示打印符合要求的行以及上面两行-C :后跟一个数字,例如 C...
linux用户管理命令
hechenhongbo的博客
08-24 2320
linux用户管理命令 用户管理----用户信息与密码的配置文件 用户管理要学的内容很多,当然了,不会简单的放两个创建用户的命令,这样的文章太多了。我们来看两个用户管理中非常重要的配置文件吧! 我们来看看用户的相关配置文件都存放在什么地方。 用户信息文件: ...
Linux操作系统安全配置
V13807970340的博客
04-15 3664
在我们Linux系统当中,默认的情况下,所有的系统上的帐号与一般身份使用者,还有root的相关信息, 都是记录在/etc/passwd这个文件内的。vsftpd 是一个 UNIX 类操作系统上运行的服务器的名字,它可以运行在诸如 Linux、BSD、Solaris、 HP-UNIX等系统上面,是一个完全免费的、开放源代码的ftp服务器软件,支持很多其他的 FTP 服务器所不支持的特征。UID号为0是为root用户保留的,UID号1到99是为系统用户保留,UID号100-999是为系统账户和群组保留。
linux-用户管理
qq_68163788的博客
07-26 730
uid1000+普通用户。uid=1004(BBB)gid=1005(BBB)组=1005(BBB),1006(CCC)uid=1005(yps)gid=1007(yps)组=1007(yps),10(wheel)BBBx10041005/home/BBB/bin/bash//用户BBB。AAAx10031004/home/AAA/bin/bash//用户AAA。uid用户的身份证号------------>uid1~499系统用户。...
01_SHELL编程前奏_小工具
baiduwenku112的博客
11-16 178
目录 一、文本处理工具 1.grep工具 2.cut工具 3. sort工具 4.uniq工具 5.tee工具 6.diff工具 7. paste工具 8. tr工具 二、bash的特性 1、命令和文件自动补全 2、常见的快捷键 3 、常用的通配符(重点) 4、bash中的引号(重点) 一、文本处理工具 1.grep工具 grep是**行**过滤工具;用于根据关键字进行行过滤 语法: # grep [选项] '关键字' 文件名 常见选项: OPTIO...
Linux应急响应流程
最新发布
06-09
Linux应急响应Linux Incident Response, LIR)是一个系统管理员或安全专家在Linux系统遭受安全事件时采取的一系列步骤。这个流程通常包括以下几个阶段: 1. **检测和确认**: - 监控系统日志和安全工具(如审计工具、入侵检测系统)以发现异常活动。 - 确认事件是否真实发生,而不是误报或意外。 2. **隔离和封锁**: - 尽快从网络上隔离受攻击的系统,防止进一步的损害或感染其他设备。 - 切断可能被利用的服务或连接。 3. **证据收集**: - 保存现场,包括截图、日志文件、网络流量等,为后续调查提供线索。 - 避免修改任何可能影响调查的信息。 4. **分析和识别**: - 使用工具分析恶意软件、行为模式,确定攻击类型和方法。 - 查阅安全数据库和情报,查找类似攻击案例。 5. **修复和恢复**: - 修复已知的安全漏洞。 - 清理恶意软件,如使用取证工具清除恶意进程和文件。 - 数据恢复,如果可能的话,从备份中恢复受损数据。 6. **报告和沟通**: - 编写详细的事件报告,包括发现的威胁、应对措施和建议。 - 向管理层和相关人员通报情况,可能还包括外部安全团队或执法机构。 7. **预防和改进**: - 更新系统补丁和安全配置。 - 完善安全策略和流程,提高应急响应能力。 - 培训团队,增强安全意识和应对技巧。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小晨_WEB

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值