Linux分析排查

最新推荐文章于 2024-07-09 10:13:06 发布
最新推荐文章于 2024-07-09 10:13:06 发布
阅读量1k 收藏 3
点赞数
分类专栏: 应急响应 文章标签: linux php 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43665434/article/details/120320548
版权

Linux分析排查

一、文件分析

1、敏感文件信息

重点目录

/tmp

在Linux系统下一切都是文件,其中/tmp是一个特别的临时目录,每个用户都可以对该目录进行读写操作。因此一个普通用户可以对/tmp目录执行读写操作。

黑客往往会以/tmp目录作为跳板进而攻击服务器,所以要重点排查/tmp目录。

/etc/init.d/

恶意代码很有可能设置在开机自启动的位置。

查看指定目录下文件事件顺序的排序:ls -alt |head -n 10

查看文件时间属性:stat 文件名 (如果创建时间与修改时间很近,就可疑)

快速筛选find

1、新增文件分析

  • 查找24小时内被修改的文件

    find ./ -mtime 0 -name “*.php” (0+1*24)

  • 查找72小时内新增的文件

    find ./ -ctime -2 -name “*.php” (2+1*24)

2、权限查找perm

在linux系统中,如果具有777权限,那么文件很可疑

find ./ -iname “*.php*” -perm 777 (其中-iname忽略大小写,-perm用于设定筛选文件权限)

二、网络连接分析

1、进程分析

网络连接分析netstat

在Linux中可以使用netstat进行网络连接查看。

netstat -Print network connections,routing tables,interface statistics,masquerade connections,and multicast memberships

具体帮助信息查看man netstat

常用命令 netstat -pantl 查看处于tcp网络套接字相关信息。

netstat -pantl | grep pid

关闭未知连接 kill -9 pid 关闭

进程所对文件分析ps

在Linux中可以使用ps查看进程相关信息

使用ps aux查看所有进程信息

ps aux | grep PID 筛选出具体PID的进程信息

lsof -i:端口号 也可实现类似功能(不常用)

ps aux | grep PID | grep -v grep (排除字符串中grep项)

2、登录分析last

在Linux做的操作都会被记录到系统日志中,对于登录也可以查看日志信息查看是否有异常登录。

last命令 last -i | grep -v 0.0.0.0 (查看登录记录,排除本地登录)

image-20210908232630863

w命令 实时登录查看

image-20210908232649684

3、异常用户分析排查uid&id=0

在Linux中root用户是一个无敌的存在,可以在Linux上做任何事情。

新建用户 useradd username

设置密码 passwd username 输出密码

设置用户uid和gid都为0.(root用户的uid为0gid为0)修改文件即可 /etc/passwd

cat /etc/passwd

grep “0:0” /etc/passwd 搜索具有root权限的账户

ls -l /etc/passwd 查看文件属性,注意修改时间是否有异常

awk -F: ‘$3==0 {print $1}’ /etc/passwd (查看root权限用户)

awk -F: ‘$2=="!" {print $1}’ /etc/shadow 查看空密码用户(密码处为!)

awk -F: ‘length($2)==0 {print $1}’ /etc/shadow 查看空密码用户(密码处长度为0)

4、历史命令分析history

在Linux系统中默认会记录之前执行的命令 /root/.bash_history文件中。

用户可以使用cat /root/.bash_history进行查看或者使用history命令进行查看。

image-20210914004141198

特别注意:wget(可能远程下载木马)、ssh(连接内网主机)、tar zip类命令(数据打包)、系统配置等(命令修改)ps netstat

5、计划任务排查crontab

在Linux系统中可以使用命令crontab进行计划任务的设定

image-20210916010427832

-e 用来编辑设定计划任务

-l 用来查看当前计划任务

-r 用来删除计划任务

6、开机自启动项

在Linux(Debian)系统中 /etc/init.d/ 目录下保存着开机自启动程序的目录

image-20210914010311097

/etc/init.d/ apache status

/etc/init.d/ apache start

/etc/init.d/ apache stop

使用update-rc.d apache disable 取消apache开机自启动

update-rc.d apache enable 开启apache开机自启动

7、$PATH变量异常

$PATH中的路径决定了shell将到哪些目录中寻找命令或程序,PATH的值是一系列目录,当您运行一个程序时,Linux在这些目录下进行搜寻编译链接。ls cd

image-20210914011306334

image-20210914011324337

修改PATH export PATH=$PATH:/usr/locar/new/bin

只在本次终端中有效,重启后无效。在/etc/profile或/home/.bashrc (source ~/bashrc)才能永久生效。

8、后门排查-rkhunter

Rkhunter具有以下功能:

1、系统命令检测,MD5校验

2、Rookit检测

3、本机敏感目录、系统配置异常检测

安装:apt install rkhunter

基本使用:rkhunter --check --sk

-c,–check Check the local system

–sk,–skip-keypress Don’t wait for a keypress after each test

image-20210914235308094

0ak1ey
关注
专栏目录
【shell练习题】判断某个文件是否存在及文件是否为0
梨子的博客
08-24 2272
题:判断某个文件是否存在,文件存在输出“存在”,否则输出“不存在”;如果文件存在且大小为0,则输出“文件大小为0”,反之输出“文件大小不为0”; 代码: 运行结果: 文件测试常用参数: -e 文件名 如果文件存在则为真 -r 文件名 如果文件存在且可读则为真 -w 文件名 如果文件存在且可写则为真 -x 文件名 如果文件存在且可执行则为真 -s 文件名 如果文件存在且至少有一个字符则为真 -d 文件名 如果文件存在且为目录则为真 .
判断文件或目录是否存在,文件大小是否为0
qq_45754184的博客
06-16 630
的方式分别判断每个文件是否存在。根据存在与否的不同情况,可以编写适当的代码块来执行相应的操作。2、如果想要在Shell脚本中判断目录。exit 1表示当文件为空时,退出该脚本。在这个示例中,首先使用。
linux和windows下上传文件,linux出现文件大小为0打不开的情况
Lyh_ok的博客
04-29 3094
记录解决问题的日常=====>文件上传
Linux环境中应急响应与排查溯源思路总结
最新发布
无问社区的博客
07-09 1776
在应急响应和溯源时,经常会遇见Linux系统环境,然后小编经常只记得思路忘记部分命令,下面是小编对Linux环境下应急响应和排查的思路总结。 本文来源无问社区(wwlib.cn)更多详细内容可前往观看。
linux shell 判断 文件整数 存在、大小、空、等
Hello World!
01-13 5902
转自:http://hi.baidu.com/nbye2000/item/371624271fdc1dd3a417b642 *      文件测试操作符     如果下面的条件成立将会返回真.     -e    文件存在     -a    文件存在,这个选项的效果与-e相同. 但是它已经被"弃用"了, 并且不鼓励使用.     -f    表示这个文件是一个一般文件(并不是目
CentOS-文件和文件夹的判断-文件权限修改-管理员启动资源管理器
插件开发
05-28 480
文章目录一.命令操作二.管理员启动资源管理器 一.命令操作 1.命令:ls -al | grep 目标文件名   用户可以通过"ls -al 目录"显示文件类型。通过ls -al 显示出来每行每个文件或者目录信息的第一字符,来判断文件类型。   第一字符为[d],代表是一个目录。   第一字符为[-],代表是一个文件。   名称为 . ,代表当前目录;为…,代表当前目录的上一级目录(这和Windows相同)。文件名以.开始,如下图中的.bash_logout代表是一个隐藏文件或目录。   相比Windows
windows日志分析#linux日志分析#web日志分析#windows入侵排查#linux入侵排查
09-01
本篇文章将深入探讨Windows、Linux以及Web日志分析和相关入侵排查的知识点。 首先,我们来看Windows日志分析。Windows操作系统提供了事件查看器(Event Viewer)工具,它收集并记录了系统、应用程序、安全、设置和...
Linux入侵排查.docx
05-07
Linux 入侵排查 Linux 入侵排查是指在 ...Linux 入侵排查需要对系统进行逐步检查和分析,包括账号安全、历史命令、异常端口和异常进程等方面,以检测和处理可能的入侵行为,保护企业的网络信息系统和减少经济损失。
Linux故障排查方法
03-07
总的来说,Linux故障排查和性能调优是一个综合性的过程,需要深入理解系统内部的工作原理,熟练掌握各种监控和分析工具,以及具备良好的问题解决能力。通过持续监控、分析和优化,我们可以确保Linux系统稳定高效地...
linux 查看文件夹文件大小数目等信息
weixin_34395205的博客
11-22 405
1. 查看当前目录所有文件和文件夹的大小 方法一: du−sh∗或du−sh∗或du -h -d 0 * '-d 0' 代表查询目录的深度为0 ,也就是当前目录,'-d 3' 表示文件目录深度为3,可以查到当前目录下的1~3级目录。 方法二: ls−lh或ls−lh或ls -lht 2. 查看并统计文件和文件夹数目 统计当前目录下文件数目: $ls ...
shell 删除 大小为0文件 ,不需要参数,直接在需要清除文件的目录下执行即可
09-17
shell 删除 大小为0文件 ,不需要参数,直接在需要清除文件的目录下执行即可
linux命令 du -h --max-depth=0,查看当前目录下文件大小
qq_40906612的博客
05-11 9609
linux命令 du -h --max-depth=0,查看当前目录下文件大小。du -h查看系统磁盘大小
linux下 查找 或 删除 空文件(大小等于0的文件)的方法
热门推荐
teleger的博客
09-18 2万+
给出  文章 链接: linux下批量删除空文件(大小等于0的文件)的方法 在 要查找的 文件夹 ,打开命令行: find . -name "*" -type f -size 0c 找 大小为 0 的 文件... 删除 操作 见  给出 的链接......
shell统计目录下大小为0的文件个数
Thinking -Walking@未名
04-23 3263
ls -l | awk '{ if ($5 == 0) cnt++;} END { print "个数",cnt}'
shell判断文件大小
luffy_1993的博客
05-09 6986
#判断大小 SIZE=8 FILE="test.sh" size=0 until [ $size -eq $SIZE ] do size=`ls -l "${FILE}" | awk '{print $5}'` echo "file $FILE size is $size, expected value is $SIZE" sleep 1 done
linux查找0kb的文件,linux基础教程|文件查找命令find
weixin_39520353的博客
05-01 1047
一、find查找命令基本格式:find path expression1.按照文件名查找(1)find / -name httpd.conf  #在根目录下查找文件httpd.conf,表示在整个硬盘查找(2)find /etc -name httpd.conf  #在/etc目录下文件httpd.conf(3)find /etc -name '*srm*'  #使用通配符*(0或者任意多个)。...
批量删除
weixin_33725807的博客
01-29 438
#批量删除隐藏文件find /abc/ -name ".svn*" -type f | xargs -n 1 rm -ffind /abc/ -name "._*" -type f | xargs -n 1 rm -frfind /abc/ -name ".DS*" -type f | xargs -n 1 rm -frlinux下批量删除空文件(大小等于0的文件)的方法f...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值