应急响应-linux-系统排查

已于 2024-01-19 13:40:09 修改
阅读量362 收藏 9
点赞数 8
分类专栏: 应急响应 文章标签: linux 服务器 运维 网络安全
于 2024-01-19 13:38:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50765147/article/details/135695752
版权
系统基本信息

  • 对于Linux系统的主机排查,可以使用相关命令查看CPU(中央处理器)信息、操作系统信息及模块信息等,初步了解主机情况。

CPU信息

  • 在命令行中输入【lscpu】命令,可查看CPU相关信息,包括型号、主频、内核等信息,如图所示。

操作系统信息

  • 在命令行输入【uname-a】命令,可查看当前操作系统信息,如图所示。

  • 或在命令行中输入【cat /proc/version】命令,可查看当前操作系统版本信息,如图所示。

模块信息
  • 在命令行中输入【lsmod】命令,可查看所以已载入系统的模块信息,如图所示。

用户信息
查看系统所有用户信息
  • 查看系统所以用户信息可以在命令行中输入【cat /etc/passwd】命令,后续个项由冒号隔开,分别表示“用户名” “密码加密” “用户ID” “注释” “用户主目录” “默认登录 shell” 如图所示。查询的用户信息中,最后显示 “bin/bash” 的,表示账号状态为可登录;最后显示“sbin/nologin”的,表示账号状态为不可登录。

分析超级权限账户
  • 在命令行中输入【awk -F: '{if($3==0) print $1}' /etc/passwd】命令,可查询可登录账号UID为0的账号,如图所示。root是UID为0的可登录账号,如果出现其他为0的账户,就要进行重点排查。

查看可登录的账户
  • 在命令行输入【cat /etc/passwd | grep '/bin/bash' 】,可查看可登录的账户,如图所示,账户root和once是可登录的账号。

查看用户错误的登录信息
  • 在命令行中输入【lastb】命令,可查看显示用户错误的登录列表,包括错误的登录方法、IP地址、时间等,如图所示

查看所有用户最后的登录信息
  • 在命令行输入【lastlog】命令,可查看系统中所以用户最后的登录信息,如图所示。

查看用户最近登录信息
  • 在命令行输入【last】命令,可查看用户最近登录信息(数据源为/var/log/wtmp、/var/log/btmp、/var/log/utmp),如图所示。其中,wtmp存储登录成功的信息、btmp存储登录失败的信息、utmp存储当前正在登录的信息。

查看当前用户登录系统情况
  • 在命令行中输入【who】命令,可查看当前用户登录系统清理,如图所示

查看空口令账户
  • 在命令行中输入【awk -F: 'length($2)==0 {print $1}' /etc/shadow】命令,查看是否存在空口令的账户,如图所示,无空口令账户。

启动项
  • 启动项是恶意病毒实现持久化驻留的一种常用手段,使用以下方法可以查找启动项的相关内容。
    • 使用【cat /etc/init.d/rc.local】命令,可查看init.d文件夹下的rc.load文件内容。(开机自启程序)
    • 使用【cat /etc/rc.local】命令,可查看rc.local文件内容。
    • 使用【ls -alt /etc/init.d】命令,可查看init.d文件夹下所有文件的详细信息,如图所示,框内文件是某挖矿病毒的启动项。

计划任务
  • 在linux系统中,任务计划也是维持权限和远程下载恶意软件的一种手段,一般有以下两种方法可以查看任务计划。
命令行查看
  • 在命令行中输入【crontab -l】命令,可查看当前的任务计划,也可以指定用户进行查看,如输入命令【crontab -u root -l】,可查看root用户的任务计划,以确认是否存在后门木马程序启动相关信息。如图所示,使用命令【crontab -l 】后,查询到一个挖矿恶意程序的任务计划设置,其每隔12分钟远程下载恶意网站上的ctrontab.sh脚本文件。

查看etc目录下的任务计划文件
  • 一般在Linux系统中的任务计划文件是以cron开头的,可以利用正则表达式的*赛选出etc目录下的所有以cron开头的文件,具体表达式为/etc/cron*。如,查看etc目录下的所有任务计划就可以输入【ls /etc/cron*】 命令,如图所示。

  • 通常,还要如下包含任务计划的文件夹,其中,*代表文件夹下的所有文件:
    • /etc/crontab 包含所有用户和组的cron作业
    • /etc/cron.d/* 包含所有用户和组的cron作业文件,每个文件必须以.cron结尾,并且必须具有0644权限
    • /etc/cron.daily/* 包含每天运行的cron作业,这些作业通常用于执行日常维护任务,如清理日志文件或更新软件包
    • /etc/cron.hourly/* 包含每个小时运行的cron作业,这些作业通常用于执行更频繁的任务,如检查邮件或更新天气预报
    • /etc/cron.weekly/ 包含每周运行的cron作业,通常执行较少频繁的任务,如备份文件或安全扫描
    • /etc/anacrontab 包含在系统中重新启动后的cron作业,通常用于执行启动后立即运行的任务,如发送电子邮件或更新软件包
岁月冲淡々
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
最全Linux 应急响应-溯源-系统日志排查
Cwillchris的博客
08-04 880
黑客入侵系统后一般会将系统日志清空,以达到清理痕迹的作用,如果日志被黑客清空我们就无法通过日志来分析黑客入侵系统后都做了哪些事情,在很多情况下黑客在清理日志的时候都会忽略内存中的日志。将本次登录的命令写入命令历史文件中,命令不是使用了就立即写入到文件中的,会现在缓存中,用户退出登录时会自动写入文件,-w 命令可以立即写入,-c 命令可以清除当前缓存中的命令。创建),但若失败(例如在系统启动早期"/var"尚未挂载),则转而保存在 /run/log/journal 目录中(将会被自动按需创建)。...
应急响应Linux入侵排查思路
09-18
应急响应Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程...
Linux应急响应排查
热门推荐
weixin_43526443的博客
01-29 7万+
上一篇文章说到Windows的应急响应排查,本篇文章就来说说Linux应急响应排查。 首先,前期交互这部分的内容还是不能少的,毕竟掌握的信息越多,排查的思路就越清晰。 Part1 熟悉主机环境 uname -a cat /proc/version lsb_release -a 首先,先对排查主机的基本信息有一个了解。 Part2 运行进程排查 首先熟悉一下ps命令的参数: ps [选项] -e 显示所有进程。 ...
应急响应-Linux-进程排查
qq_50765147的博客
01-22 486
命令行 在命令行中输入【netstat】网络连接命令,可分析可疑端口、可疑地址、可疑PID及程序进程。如图所示,PID为2963的进程存在恶意外联情况 根据PID值,利用【ls -alt /proc/PID】命令,可查看其对应的可执行程序。如图所示,使用【ls -alt /proc/2963】命令,可查看PID为2963的进程的可执行程序。 也可利用【lsof-p PID】命令,查看进程所打开的文件,如图所示,使用【lsof -p 2963】命令,可查看PID为2953的进程所
应急响应-Linux-服务排查
qq_50765147的博客
01-24 339
查看系统运行服务 在命令行中输入【chkconfig --list】命令,可以查看系统运行的服务,如图所示 其中,0、1、2、3、4、5、6表示等级,具体含义如下: 1表示单用户模式 2表示无网络连接的多用户命令行模式 3表示有网络连接的多用户命令行模式 4表示不可以 5表示带图形界面的多用户模式 6表示重新启动 使用【service --status-all 】命令,可查看所有服务状态,如图所示。
应急响应-Linux 应急响应命令总结
lza20001103的博客
12-16 1758
应急响应-Linux 应急响应命令总结
应急响应-Linux入侵排查
lza20001103的博客
05-02 2018
Linux入侵排查
应急响应-Linux排查思路小结
dayouzi的博客
02-13 531
在日常工作中,总是遭遇linux操作系统的应急,这里整理一些常用排查命令。
应急响应-Linux后门排查
lza20001103的博客
12-16 1204
应急响应-Linux后门排查
应急响应-Linux入侵排查(工具篇)
lza20001103的博客
05-07 2434
Linux入侵排查(工具篇)
Linux应急响应辅助排查脚本
10-20
Linux应急响应辅助排查脚本 一键运行导出日志 将该脚本下载并移动到Linux任意文件夹,以root权限运行即可导出result.log辅助快速应急响应主机排查。 可使用此脚本用于分析日常服务器差异及被攻击行为。
Linux应急响应排查基础.zip
02-11
Linux应急响应排查基础 包含如下7分文档 数据采集.docx history.docx 日志查看命令.docx PS.docx linux应急响应checkList.docx Linux应急响应.docx Linux日志系统.docx
Linux 应急响应流程及实战演练.docx
06-10
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络...针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
Linux 应急响应入门——入侵排查.doc
01-20
Linux 应急响应入门——入侵排查.doc
selinux的安全策略可以影响ntp的方式
最新发布
ALex_zry的博客
05-18 236
默认情况下,NTP使用UDP端口123进行通信,SELinux 策略需要允许NTP守护进程访问该端口。例如,可以创建一个策略,只允许受信任的NTP服务器与本地系统通信。:SELinux 提供了详细的日志和审计功能,可以帮助管理员监控和分析NTP守护进程的行为,以及检测任何潜在的安全问题。:SELinux 还可以限制NTP守护进程可以执行的操作,例如,是否可以打开套接字、是否可以读取或写入特定的设备等。:如果SELinux策略设置得太严格,可能会与NTP的正常操作发生冲突,导致NTP无法正常同步时间。
linux---进程通信
m0_74979625的博客
05-17 556
提示:以下是本篇文章正文内容,下面案例可供参考。
Linux动静态库
2301_80163789的博客
05-14 629
在程序翻译的链接阶段,其实就是把一堆.o文件链接在一起形成.exe文件。如果一个程序中需要链接很多个.o文件,那么这些.o文件就需要被打包才方便管理,**库文件本质就是把.o文件打包。**库文件是一种提高开发效率的手段。对于静态库,使用静态库形成可执行程序后,静态库被加载到了可执行程序的代码里,不需要让系统知道静态库在哪里;但对于动态库,由于动态库不加载到可执行程序里,而是动态加载到内存中,所以使用动态库要告诉系统动态库在哪(因为是系统来加载动态库)。动态库在编译时代码不会被复制到可执行文件中,而是。
操作系统 实验13 批处理操作接口3:引用与命令替换
m0_63093530的博客
05-14 155
结果:第一个和第三个命令是错的,第二个和第四个命令是对的。echo "这是命令替换形式1...$date1"echo "$sv ++++加上另一些字符!2、输出字符串“China's panda”命令:echo China\'s panda。6、将命令date执行结果赋予变量date1。7、将命令date执行结果赋予变量date2。1、输出字符串“$Dollar”命令:echo \$Dollar。命令:date2=$(date)命令:date1=`date`
ubuntu-16.04系统存在可疑账户的应急响应排查工作
07-15
针对Ubuntu 16.04系统存在可疑账户的应急响应排查工作,你可以采取以下步骤: 1. 确认是否存在可疑账户:使用命令"sudo cat /etc/passwd"列出系统中的所有用户账户,查看是否有未知或可疑账户。特别注意root账户和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值