应急响应笔记(Linux)

最新推荐文章于 2024-06-23 15:22:43 发布
最新推荐文章于 2024-06-23 15:22:43 发布
阅读量1.6k 收藏 10
点赞数
分类专栏: 安全文章
原文链接:https://forum.90sec.com/t/topic/400
版权

A、日志分析

1、除root之外,是否还有其它特权用户(uid 为0)awk -F: '$3==0{print $1}' /etc/passwd

2、可以远程登录的帐号信息

awk '/\$1|\$6/{print $1}' /etc/shadow

3、查看登录失败信息

grep -o "Failed password" /var/log/secure|uniq -c

4、输出登录爆破的第一行和最后一行,确认爆破时间范围

grep "Failed password" /var/log/secure|head -1
grep "Failed password" /var/log/secure|tail -1

5、显示登陆失败的用户

6、爆破用户名字典都有哪些?

grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

uniq -c 显示出现的次数

sort -nr 整体排序

7、登录成功的日期、用户名、IP

grep "Accepted" /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

8、统计一下登录成功的IP有哪些

grep "Accepted" /var/log/secure | awk '{print $11}' | sort | uniq -c |sort -nr | more

9、除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限

more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

10、禁用或删除多余及可疑的帐号usemod

usermod -L user 禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头

userdel user 删除user用户

userdel -r user 将删除user用户,并且将/home目录下的user目录一并删除

/etc/passwd 下修改/bin/bash为/bin/nologin禁止账号登录       

11、增加,删除用户日志

grep "useradd" /var/log/secure

grep "userdel" /var/log/secure

12、sudo授权执行

查看谁有sudo授权执行权限(权限级别) sudo -l

B、历史命令查询

1、通过.bash_history查看帐号执行过的系统命令

2、打开/home各帐号目录下的.bash_history,查看普通帐号的历史命令

 

为历史的命令增加登录的IP地址、执行命令时间等信息:

1)保存1万条命令 sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile

2)在/etc/profile的文件尾部添加如下行数配置信息: ######jiagu history xianshi######### USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'` if [ "$USER_IP" = "" ] then USER_IP=`hostname` fi export HISTTIMEFORMAT="%F %T $USER_IP `whoami` " shopt -s histappend export PROMPT_COMMAND="history -a" ######### jiagu history xianshi ##########

3)source /etc/profile让配置生效 生成效果: 1 2019-10-21 15:45:39 192.168.204.1 root source /etc/profile

3、历史操作命令清除

history -c 但此命令并不会清除保存在文件中的记录,因此需要手动删除.bash_profile文件中的记录。

4、入侵排查:

进入用户目录下

cat .bash_history >> history.txt

C、检查异常端口

1、使用netstat 网络连接命令,分析可疑端口、IP、PID

netstat -antlp|more

!net

lsof -i:80 查看指定端口

netstat -anp|grep 158.x.x.x 从连接的IP来定位PID,如果是瞬时建立的才找不到

2、查看下pid所对应的进程文件路径

运行 ls -l /proc/$PID/exe

file /proc/$PID/exe($PID 为对应的pid 号)

D、检查异常进程

使用ps命令,分析进程 ps aux | grep pid (pid表示要查询的关键字)

F、定时任务

1、查看定时任务

crontab -l 表面上查看定时任务

cat /etc/crontab 查看定时任务的文件里面是否存在定时任务

ls -al /var/spool/cron/\*

cat /var/spool/cron/\* 查看文件夹里面是否有其他定时任务的文件

ls -al /etc/cron.d/\*

for u in \`cat /etc/passwd |cut -d ":" -f1\`;do crontab -l -u $u; done

2、删除定时任务

crontab -r 表面上删除定时任务

3、编辑定时任务

crontab -e

定时任务解读:

前面5个星分别代表分-时-天-月-星期 后面跟命令

\* \* \* \* \* command

\*/15 \* \* \* \* command(表示每15分钟运行一次)

查看CPU运行

top

结束进程

kill PID

kill -9 PID 彻底杀死进程

kill -KILL PID 强制杀死进程

查看进程

ps -a 列出的是当前控制终端启动的进程 ps -A 系统全部启动进程 ps auxf 查看父进程关联的子进程 pstree 查看进程树

daxi0ng
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux手工入侵排查思路
04-19 690
Linux主机发生安全事件需要进行入侵排查时,一般可以使用常见的shell命令,通过分析主机的异常现象、进程端口、启动方式、可疑文件和日志记录等信息以确认主机是否被入侵。在这里,结合工作...
linux系统被入侵排查过程
focus on security
06-07 834
针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。废话少说直奔主题。 一、账号安全 基本使用:1、用户信息文件/etc/passwd root:x:0:0:root:/root:/bin/bash account:password:UID:GID:GECOS:directory:shell 用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell 注意:无密码只允许本机登陆,远程不允许登陆 2、影子文件/etc.
linux cron /etc/crontab 及 /var/spool/cron/$USER 中定义定时任务
最新发布
认知 行动 坚持
06-23 266
比如使用root用户创建的crontab任务对应的文件就是/var/spool/cron/root,一般一个用户最多只有一个crontab文件。1、crontab -e 或者直接编辑/etc/crontab文件,这种方式用的人比较多,/etc/crontab是系统调度的配置文件,只有root用户可以使用,使用时需root权限,而且必须指定运行用户,才会执行。定时任务在linux上主要体现在两个地方,一个是/etc/crontab ,另一个就是定义了任务计划的用户/var/spool/cron/$USER。
crontab报错/var/spool/cron : Permission denied和 -bash: chattr: command not found
smallfatman的博客
10-13 2278
,表示任务添加成功,且之后三分钟不会执行对应的任务,所以在调试定时器的时候,要把这三分钟考虑进去,如果执行的时间在三分钟内的话,对应的任务则不会生效。原因(使用crontab -e编写需要等3分钟出现效果)如果是这种情况,就不属于本文说的如下问题。目录下用vim编辑一个测试文件,看是否可以保存在这个cron目录下,如果无法保存提示权限问题。服务器搭建了宝塔面板,这种情况得去宝塔界面设置定时任务,因为权限都在宝塔哪里。下查看cron目录是正常的,但是在cron里面没有权限建立文件这个根源。
Linux的一些知识(9)
weixin_45866849的博客
09-27 1253
1. Linux定时任务的介绍和使用 2. date 命令的学习
Linux 应急响应入门:入侵排查应该这样做
开源世界
05-17 146
账号安全: 1、用户信息文件 /etc/passwd # 格式:account:password:UID:GID:GECOS:directory:shell # 用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后的 shell root:x:::root:/root:/bin/bash # 查看可登录用户: cat /etc/passwd | grep /bin/bash # 查看UID=0的用户 awk -F: '$3==0{print $1}' /etc/passwd # 查看sudo权限的用
Linux——定时任务crontab
weixin_39836585的博客
10-16 272
crontab [-u username]    //省略用户表表示操作当前用户的crontab -e (编辑工作表) -l (列出工作表里的命令) -r (删除工作作)
应急响应实战笔记.rar
02-14
应急响应实战笔记,包含入侵排查篇:Windows 入侵排查、Linux 入侵排查、常见的 Webshell 查杀工具、如何发现隐藏的 Webshell 后门、勒索病毒自救指南;日志分析篇:Windows日志分析、Linux日志分析、Web日志分析、...
应急响应实战笔记+linux、windows加固手册(建议收藏@@@)
08-07
应急响应实战笔记+linux、windows加固手册,详细讲述了linux、windows加固方法和应急响应流程,值得收藏
应急响应工具集及应急响应实战笔记.zip
08-04
网络安全应急响应工具集及应急响应实战笔记 辅助工具集 进程分析工具集 练手样本集 流量分析工具集 启动项分析工具集 信息收集工具集 专杀工具集 Webshell查杀集 第01章:入侵排查篇 第02章:日志分析篇 第03章:...
应急响应实战笔记_2020最新版.pdf
06-24
整体目录结构共六章,分为技巧篇和实战篇。第1~3章为技巧篇,分别对应入侵排查、日志分析和权限维持,第4~6章为实战篇,包含了Windows/Linux各种病毒木马,web入侵事件溯源处理过程。
linux cron 工作原理
09-09
cron 工作原理: cron 命令在系统启动时就由一个 shell 脚本自动启动,进入后台.首先会搜索 /var/spool/cron 目录, 寻找以 /etc/passwd 文件中的用户名命名的 crontab 文件并载入内存; cron 命令还会搜索 /etc/crontab 文件, 这个文件是用不同的格式写成的. cron 服务的最低检测时间单位是分钟, 所以 cron 会每分钟读取一次 /var/spool/cron 与 /etc/crontab 中的数据内容.
[ 应急响应 ] 应急响应实战笔记_2020最新版.rar
02-11
[ 应急响应 ] 应急响应实战笔记_2020最新版.rar 包含文件如下 应急响应实战笔记_2020最新版.pdf 应急响应实战笔记_2020最新版.docx 详细内容如下 入侵排查篇 日志分析篇 权限维持篇 Windows实战篇 Linux实战篇 Web...
实用工具 | Linux 定时任务 crontab 命令详解
dbkernel 的博客
07-10 923
Linux 下的任务调度分为两类:系统任务调度和用户任务调度。Linux 系统任务是由 这个系统服务来控制的,这个系统服务是默认启动的。用户自己设置的计划任务则使用 命令。在 Ubuntu/Debian 中,配置文件路径为 (CentOS也类似),其内容为: 环境变量用于指定系统要使用的shell,此处为。 环境变量指定了系统执行命令的路径。 也可以添加变量,如果指定,则表示 crond 的任务执行信息将通过电子邮件发送给指定的用户。 其他部分在后文详细讲述。 用户定期要执行的工作,比如用户数据
分析安全日志
luminous_you的博客
11-29 1640
定位有多少IP在爆破主机的root帐号: grep “Failed password for root” /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more 定位有哪些IP在爆破: grep “Failed password” /var/log/secure|grep -E -o “(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][09]|[01]?[0-9.
Linux中cron的用法,Linux中cron命令的用法详解
热门推荐
weixin_35029653的博客
05-13 6万+
linux中有一个命令可以定期来执行系统任务。这就是crond服务。下面介绍下crontab命令的用法。linux任务调度的工作主要分为以下两类:编辑/etc/crontab 文件配置croncron服务每分钟不仅要读一次 /var/spool/cron内的所有文件,还需要读一次/etc/crontab,因此我们配置这个文件也能运用cron服务做一些事情。用 crontab配置是针对某个用户的,而...
/var/spool/cron/和/etc/crontab的区别
bwlab的博客
01-06 3万+
crontab -e 也许有些人用的最多了,简单方便 root用户执行的就会在/var/spool/cron/下面创建root文件 因为网站有需求,我用root执行的crontab -e写的php计划任务,没有指定用户权限,导致php脚本生成的内容是root权限,也导致ftp操作不了,因为ftp那么是压制的web的权限 那么crontab -e 指定用户会不会生效呢,毕竟crontab -e
Redis服务器被劫持风波
通往精英的成长之路
02-25 2万+
【前言】 俗话说全猛于虎,之前多多少少有所小体会;这次的上线Redis服务器被劫严重影响了开发测试和线上环境,在解决的过程也对安全方面了解了很多;总结了这次过程的排查流程以及采取的相应测试,在此与大家共享。 【被劫风波】 一、问题: 1、开发,生产,测试服务器(shiro :246;开发:251; 测试:204;生产:164,165)每台机器的Redis...
linux使用:sudo使用:ALL=(ALL)的详细解释
weixin_42382758的博客
03-25 4440
用户有root ,以及普通用户,但是普通用户想要执行高级权限(root权限)呢?? sudo就是为想使用root权限的普通用户设计的,可以让普通用户具有临时使用 root 权限的权利。 我们需要一张表记录,可以执行root权限的普通用户的名单,这个名单就是 记录在 /etc/sudoers 使用root 用户编辑/etc/sudoers,给普通用户授权。 加入如下的内容,保存。 zhangsan ALL=(ALL) ALL 这样普通用户就可以使用 sudo 执行 ro...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值