32、应急响应——linux

最新推荐文章于 2024-08-22 17:10:39 发布
最新推荐文章于 2024-08-22 17:10:39 发布
阅读量226 收藏 1
点赞数
分类专栏: 深信服SCSA-S认证 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/134990274
版权

文章目录

一、linux进程排查

  1. 查看资源占用:top
  2. 查看所有进程:ps -ef
  3. 根据进程PID查看进程详细信息:lsof -p PID
  4. 查看启动时间:ps -p PID -o lstart
  5. 对于一些异常文件,初步判断,可以用strings显示里面的可读字符串:
    在这里插入图片描述
  6. 查看进程可执行文件:ls -al /proc/PID/exe
  7. 查看进程树:pstree

二、linux文件排查

  1. 查找根目录下,修改时间小于1天的文件:find / -mtime -1

    mtime可以对应为mmin指修改分钟,m意为modify,相应可改为ctime(create time),atime(access time)·

  2. 也可结合文件名进一步查找:find /var/www/html/ -mtime -1 -name *.php
  3. 查看系统命令是否存在异常,如大小、修改时间、创建时间等:ls -altS /usr/sbin | head -30
  4. 查看当前已建立的TCP连接:netstat -antulp | grep ESTABLISHED
  5. 查看反弹连接:netstat -antulp | grep bash
  6. 查看本机开放的端口:netstat -antulp
  7. 查看某一端口的具体应用:lsof -i:22
    在这里插入图片描述

三、linux用户排查

  1. 查看uid或gid为0的用户:grep :0 /etc/passwd
    在这里插入图片描述
  2. 查看passwd文件的最后修改记录:stat /etc/passwd
  3. 统计所有用户的shell相关信息:cat /etc/passwd | awk -F:'{print $7}' | sort | uniq -c
    在这里插入图片描述
  4. 重点查看有登录权限的用户:cat /etc/passwd | grep bash
  5. 查看用户登录时间:last
  6. 查看允许sudo的用户:more /etc/sudoers | egrep -v "^#|^$"
    在这里插入图片描述
    继续查找wheel组包含的用户:grep wheel /etc/group
    在这里插入图片描述

四、linux持久化排查

4.1 历史命令

  • linux因为其命令行的特殊性,可以通过history 命令来查看用户之前的操作;
  • history记录位于用户home目录下的.bash_history文件中;
  • 可以直接cat ~/.bash_history查看历史记录。

4.2 定时任务排查

命令:crontab -l,定时任务还应检查以下文件和文件夹:
在这里插入图片描述

4.3 开机启动项排查

linux开机有多种运行级别,不同级别下加载的启动文件也不相同。

在这里插入图片描述
查看当前启动级别:runlevel,不同启动项会加载不同启动文件,应检查下述文件或文件夹:

在这里插入图片描述

五、linux日志分析

linux使用rsyslog管理日志,通常关注的日志有:
在这里插入图片描述
定位有多少IP在爆破主机的root账号:

在这里插入图片描述
定位有哪些IP在爆破:

在这里插入图片描述
在这里插入图片描述

六、工具应用

  • chkrootkit,用于检查rootkit隐藏,chkrootkit
  • rkhunter是基于unix的工具,可扫描rootkit,后门程序和可能的本地漏洞;
  • webshell检测工具,深信服EDR检测
PT_silver
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
whohk:whohk linux下一款强大的应急响应工具
03-08
谁 whohk linux下一款强大的应急响应工具 暂不开放,发布版本下载请看右侧的发布 使用说明:
Linux 应急响应入门——入侵排查.doc
01-20
Linux 应急响应入门——入侵排查 Linux 应急响应入门——入侵排查是指在 Linux 系统中检测和响应入侵活动的技术和方法。本文档将详细介绍 Linux 应急响应入门——入侵排查的基本概念、核心技术和应用场景。 一、...
一款Windows和Linux应急响应工具
公众号:乌云安全
02-11 367
2、输入参数s,即对服务器中的端口、账户、当前用户、系统版本、网络信息、历史命令、进程、启动项、计划任务、登录情况等信息进行收集并将结果放置在工具当前目录中相对于名称的TXT文本中;、防火墙开启状态、RDP连接记录、共享开启状态、所有账户(包括隐藏账户)、hosts文件、Prefetch文件、安全日志、2、输入y,即可对端口信息、进程信息、IP、补丁信息、系统信息、计划任务、已安装软件、1、工具放到当前目录中,输入密码:Tes.lo01,选择y进入下一步;、应用程序日志、PowerShell日志进行收集;
linux 应急响应工具整理列表
securitypaper的博客
07-02 809
linux 应急响应工具整理列表
一款批量Linux应急响应检查工具
喜欢Python编程的程序员柚柚呀
12-26 866
一款批量Linux应急响应检查工具
Linux应急响应——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)下载地址.txt
04-21
Linux应急响应——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)下载地址,真实有效,亲测可用。
应急响应实战笔记——2020最新版
01-04
入侵排查、日志分析、权限维持、Windows实战、Linux实战、Web实战
一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门对应的应急响应靶场
03-10
暴力破解、替换ps命令、留多个houmen-应急响应靶场,应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/123323981?spm=1001.2014.3001.5501
基于CBR的车联网网络安全应急响应系统及方法.pdf
07-16
本文提出的应急响应系统能够从历史数据中获得准确的当前事件的应急响应方案,验证了该系统方法的可行性和有效性。 整个应急响应系统的工作流程包括数据收集、事件检测、案例检索、解决方案的匹配、以及执行响应策略...
LinuxEmergency:应急工具
05-02
LinuxEmergency Linux下的应急工具,支持CentOS系统和RedHat系统,安装方法: git clone https://github.com/cisp/LinuxEmergency.git cd LinuxEmergency sh ./install.sh 要求root权限 查看操作系统信息: [root@centos emergency]# python emergency.py -o 内核版本 : Linux-3.10.0-514.26.2.el7.v7.4.qihoo.x86_64-x86_64-with-centos-7.2.1511-Core CORE数量 : 16 CPU数量 : 16 CPU使用率 : scputimes(user=1.0, nice=0.0, system=0.0, idl
应急响应-Linux入侵排查(工具篇)
lza20001103的博客
05-07 2494
Linux入侵排查(工具篇)
应急响应Linux入侵排查-工具篇
qq_35254085的博客
07-05 316
2.1 Rootkit查杀 chkrootkit 使用方法: wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar zxvf chkrootkit.tar.gz cd chkrootkit-0.52 make sense #编译完成没有报错的话执行检查 ./chkrootkit rkhunter 使用方法: Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/.
GScan:Linux Checklist自动化检测
weixin_39789796的博客
05-14 908
一、下载部署 git clone https://github.com/grayddq/GScan.git cd /GSscan python2 Gscan.py 二、CheckList的自动化检测项 1、主机信息获取 2、系统初始化alias检查 3、文件类安全扫描 3.1、系统重要文件完整行扫描 3.2、系统可执行文件安全扫描 3.3、临时目录文件安全扫描 3.4、用户目录文件扫描 3.5、可疑隐藏文件扫描 4、各用户历史操作类 4.1、境外ip操作类 4.2、反弹shell类 5、进程类安全检测
Linux下应急工具
weixin_30340617的博客
07-09 352
Linux下的应急工具 在Linux下,应急的查看点无非那个几个,一是看表现(宕机、高CPU、高内存、高IO、高网络通信),二看连接、三看进程、四看日志、五看文件(Linux一切皆文件),再者结合起来看。所以针对常见的应急操作自己写了两个小工具。目前支持CentOS和RedHat,其实由于基于Python,基本是跨平台,绝大部分功能支持其他发行版本的Linux甚至Windows。 工具的安装 ...
Linux 应急响应辅助笔记
VVzv的博客
04-25 4294
目录导航0x00 前言:0x01 应急自动化工具:GScan:河马:chkrootkit:在线沙箱:0x02 排查可能被替换的文件:0x03 可疑用户排查:0x04 定时任务排查:0x05 进程排查:0x06 查看网络连接:0x07 历史命令排查:0x08 登录日志排查:0x09 SSH异常密钥排查:0x0A 启动服务排查:0x0B 寻找特定时间的文件0x0C 流量提取:0x0D 内存dump数据:0x0E 服务器威胁排查技巧:挖矿病毒特征:木马后门特征:WebShell(网页木马)特征:一些分析技巧:Li
应急响应所需工具
LQ的博客
04-25 240
0X00  简介: 文中所涉及到的工具均来自于应急响应实战笔记的归纳总结,gitbook地址:https://bypass007.github.io/Emergency-Response-Notes/。这里仅仅供个人查询使用,不作他用。文中提到的工具使用方法以gitbook的内容为主,如果找不到就请自行百度。 0X01  病毒分析(win): PCHunter:http://www.xuetr.com 火绒剑:https://www.huorong.cn Process Explorer:https://d
多进程和多线程基础概念LINUX
最新发布
2301_79109608的博客
08-22 717
直接访问物理地址,会导致地址空间没有隔离,很容易导致数据被修改通过虚拟地址空间可以实现每个进程空间都是独立的,操作系统会映射到不用的物理地址区间,在访问时互不干扰.进程状态分为三个基本状态,即运行态,就绪态,阻塞态。在五态模型中,进程分为新建态、终止态,运行态,就绪态,阻塞态。并发:有限的 cpu 核芯的情况下 ,利用快速交替(时间片轮转)执行来达到宏观上的同时执行。虚拟地址 : 虚拟地址并不代表真实的内存空间,而是一个用于寻址的编号。并行:在 cpu 多核的支持下,实现物理上的同时执行。
应急响应Linux下的关键命令解析
在实际操作中,Linux系统中的命令是应急响应人员的有力工具。" 在应急响应中,首先要做的是收集信息。这包括了解告警信息,收集客户反馈,获取设备和主机的详细信息。接着,通过这些信息判断安全事件的类型,以便...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值