应急响应-LINUX

于 2023-05-29 15:45:22 发布
阅读量225 收藏
点赞数
分类专栏: 应急响应 文章标签: linux 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65096687/article/details/130919498
版权

入侵思路排查

1.账号安全

2.历史命令

3.异常端口

4.异常进程

5.开机启动项

6.检查定时任务

7.检查服务

8.检查异常文件

9.检查日志

账号安全

/etc/passwd    账号文件
/etc/shadow    密码文件

查看当前登录用户

who   tty为本地登录   pts为远程登录

w    查看系统信息,想知道某一时刻用户的行为


uptime    查看登录多久,多少用户

查询特权用户uid

awk -F: '$3==0{print $1}' /etc/passwd

 查询可以远程登录的帐号信息

awk '/\$1|\$6/{print $1}' /etc/shadow

除root帐号外,其他帐号是否存在sudo权限。 

more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

删除或禁用可疑账号

usermod -L user 禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头
userdel user 删除user用户
userdel -r user 将删除user用户,并且将/home目录下的user目录一并删除

查看历史命令

history

如果历史命令被清除就查看存储历史命令的文件

cat .bash_history >> 1.txt

异常端口

netstat -anplt          查看所有端口和进程id

pa aux  | grep pid号    查看pid所对应的详细进程

kill -9   pid  号        有异常的就杀了

检查自启项

more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d

检查定时任务

Linux的计划任务是crontab

crontab -l  -u 用户名        列出该用户写的计划任务
more /etc/cron.daily/*

检查自启动服务

chkconfig --list

检查异常文件

find /opt -iname "*" -atime 1 -type f

检查日志

/var/log/

1、定位有多少IP在爆破主机的root帐号:
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr
| more
定位有哪些IP在爆破:
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.
(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4]
[0-9]|[01]?[0-9][0-9]?)"|uniq -c
爆破用户名字典是什么?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print
"$1\n";}'|uniq -c|sort -nr
2、登录成功的IP有哪些:
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
登录成功的日期、用户名、IP:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
3、增加一个用户kali日志:
Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001
Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001,
home=/home/kali
, shell=/bin/bash
Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali
#grep "useradd" /var/log/secure
4、删除用户kali日志:
Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'
# grep "userdel" /var/log/secure
5、su切换用户:
Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by
root(uid=0)
sudo授权执行:
sudo -l
Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ;
COMMAND=/sbin/shutdown -r now

 

不过是三年五载
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值