1-Web安全——linux下应急响应（入侵排查）

最新推荐文章于 2024-07-10 11:38:59 发布

song->_->

最新推荐文章于 2024-07-10 11:38:59 发布

阅读量3k

点赞数 3

分类专栏：网络安全文章标签：应急响应日志分析 linux 渗透测试溯源

本文链接：https://blog.csdn.net/qq_35733751/article/details/115095143

版权

网络安全专栏收录该内容

88 篇文章 68 订阅

订阅专栏

1. 应急响应

应急响应通常是在当服务器被黑客入侵后，我们需要对入侵事件进行系统的溯源和排查。主要思路就是先对入侵事件分类，然后进一步对服务器进行排查，清理木马病毒以及留下的后门程序，分析黑客的入侵方式并修复漏洞，确保服务器的正常运行。

2. 历史命令

第一步就是登录服务器排查历史命令记录，分析黑客在服务器进行了哪些操作，明确下一步的分析方向。

linux系统默认会记录用户输入的命令，保存到一个.bash_history隐藏文件中，ls -al命令可以查看隐藏文件，history命令可以查看root用户的历史命令，cat /root/.bash_history也可以查看普通用户的历史命令。

排查的时候特别要注意wget（有可能是下载木马文件），ssh（可能是异常连接内网主机），tar zip（数据打包），系统配置命令可能是修改系统相关配置。

3. linux异常用户分析

在linux系统中操作都会被记录到系统日志当中，每个用户登录的信息都会记录到日志，root用户在linux中拥有最高权限，可以执行任何操作，在进行排查的时候非常有必要排查linux下是否有异常用户。

linux下的用户信息存放在/etc/passwd目录下（无密码只允许本机登陆，远程不允许登陆），密码则存放在/etc/shadow目录。

/etc/passwd文件：

┌──(songly㉿kali)-[~]
└─$ cat /etc/passwd
root:x:0:0:root:/root:/usr/bin/zsh
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin

文件中的每一行代表一个用户的信息，每个字段用分号分割，用户名：密码：用户ID：组ID：用户说明：家目录：用户对应的shell。

/etc/shadow文件:

┌──(root💀kali)-[/home/songly]
└─# cat /etc/shadow                 
root:$y$j9T$VtGT7HATc1Ap2/wR1wbMA/$EHoBQ4kNvn3/qULzCMv3/6f4Vg4BE8c2cxzDXggBKmC:18696:0:99999:7:::
daemon:*:18696:0:99999:7:::
bin:*:18696:0:99999:7:::

用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留

ls -l /etc/passwd //查看文件修改时间，或者通过cat命令筛选出具有root权限的用户：

awk -F: '$3==0{print $1}' /etc/passwd //查看具有root权限的用户

uptime //查看登陆多久、多少用户，负载

w //查看系统信息，想知道某一时刻用户的行为

last命令可以查看登录历史：