Linux入侵排查

最新推荐文章于 2024-05-09 12:25:17 发布
最新推荐文章于 2024-05-09 12:25:17 发布
阅读量1.7k 收藏 7
点赞数
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shangMD01/article/details/122004120
版权

1.1账号安全

账号入侵排查

查询特权用户特权用户(uid 为0):

 查询可以远程登录的帐号信息:

awk '/\$1|\$6/{print $1}' /etc/shadow

 除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限:

more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

 禁用或删除多余及可疑的帐号:

 usermod -L user    禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头
 userdel user       删除user用户
 userdel -r user    将删除user用户,并且将/home目录下的user目录一并删除

1.2历史命令

历史命令入侵排查

进入用户目录下:

cat .bash_history >> history.txt

1.3检查异常端口

使用netstat网络连接命令,分析可疑端口、ip、PID

netstat -antlp|more

ctrl+c退出查看

查看下pid所对应的进程文件路径:

ls -l /proc/$PID/exe或file /proc/$PID/exe($PID 为对应的pid 号)

 1.4检查异常进程

使用ps命令,分析进程:

ps aux | grep pid

 1.5检查开机启动项

系统级别示意图

运行级别

含义
最低0.47元/天 解锁文章
shangMD01
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
后渗透之Linux信息收集
谢公子的博客
10-09 3084
whoami #查看当前用户身份 uname -a #查看系统信息 history #查看命令历史,有可能可以查看到管理员的一些重要命令,包括密码等 last #查看登录历史 cat /etc/passwd #查看用户 cat /etc/shadow #查看密码 traceroute baidu.com cat /etc/hosts #查看hosts文件 cat /etc/resolv.conf #查看dns信息 ...
应急响应笔记(Linux
daxi0ng的博客
10-21 1681
A、日志分析 1、除root之外,是否还有其它特权用户(uid 为0)awk -F: '$3==0{print $1}' /etc/passwd 2、可以远程登录的帐号信息 awk '/\$1|\$6/{print $1}' /etc/shadow 3、查看登录失败信息 grep -o "Failed password" /var/log/secure|uniq -c 4、...
Linux入侵应急响应思路
sash1mi
10-25 404
Linux入侵应急响应思路 0x01 登录情况排查 w:用于显示目前登入系统的用户信息,以及正在执行的程序,便于查看当前系统的使用情况 last:用于显示用户最近登录信息,可能会留下入侵者的痕迹 uptime:查看当前时间、系统运行了多久时间、当前登录的用户有多少,以及前 1、5 和 15 分钟系统的平均负载,便于查看系统的运行状况和负载情况(判断是否挖矿等提供一定凭据) 0x02 查询进程情况 top:查看资源消耗情况,id表示系统cpu剩余,若该值很小,说明系统可能被用于挖矿等严重占用资源,此
Linux系统入侵排查(一)
weixin_72543266的博客
05-09 1027
对我处在学生时期的我来说,目前web渗透还是为主,但是还是需要对于蓝队相关的应急响应,等保测评等还是需要有一定的了解的,攻防兼备才能越站越勇嘛,linux入侵排查也能够让我更加熟悉liunx命令,对liunx入侵排查做一次总结和复习.
CentOS7-查询可以远程登录的帐号信息
weixin_44257023的博客
03-29 601
etc/shadow 文件,用于存储 Linux 系统中用户的密码信息,又称为“影子文件”查询 /etc/shadow 文件。
linux系统被入侵排查过程
focus on security
06-07 834
针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。废话少说直奔主题。 一、账号安全 基本使用:1、用户信息文件/etc/passwd root:x:0:0:root:/root:/bin/bash account:password:UID:GID:GECOS:directory:shell 用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell 注意:无密码只允许本机登陆,远程不允许登陆 2、影子文件/etc.
linux入侵排查
weixin_46476861的博客
04-08 4088
入侵排查思路 一、账号安全 linux要么就是弱口令通过root进来,要么就是创建了一个账号进来了 sudo命令以系统管理者的身份执行指令,也就是说,经由 sudo 所执行的指令就好像是 root 亲自执行。 二、历史命令 基本使用: 1、root的历史命令 histroy 三、端口 使用netstat 网络连接命令,分析可疑端口、IP、PID 四、进程 使用ps命令,分析进程 ps aux | grep pid 面试题:linux里把病毒进
Linux入侵排查.docx
05-07
Linux 入侵排查 Linux 入侵排查是指在 Linux 系统中检测和处理黑客入侵、系统崩溃或其他影响业务正常运行的安全事件的过程。快速响应和处理这些事件对于保护企业的网络信息系统和减少经济损失至关重要。 0x00 前言...
linux入侵排查(操作截图).docx
07-10
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为...
【应急响应】Linux入侵排查思路
09-18
【应急响应】Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程...
linux 入侵排查工具
09-20
应急响应 WEB 分析日志攻击,后门木马 自动化分析工具。目的:分析出攻击时间,攻击操作,攻击后果,安全修复等并给出合理解决方案。
应急响应-linux入侵排查.md
最新发布
06-19
应急响应-linux入侵排查.md
应急响应基础笔记(二)——应急响应之Linux入侵排查
haha1314的博客
11-14 630
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...
Linux手工入侵排查思路
04-19 686
Linux主机发生安全事件需要进行入侵排查时,一般可以使用常见的shell命令,通过分析主机的异常现象、进程端口、启动方式、可疑文件和日志记录等信息以确认主机是否被入侵。在这里,结合工作...
Linux入侵应急响应与排查
cdyunaq的博客
08-08 2114
在数据泄漏方面,mysql或者其他数据库的日志就非常重要了,首先查看mysql配置文件配置了哪几种日志记录,如bin log,query log慢查询日志,慢查询日志要在超过特定阀值,才会触发。查看被入侵后,在系统上执行过哪些命令,使用root用户登录系统,检查/home目录下的用户主目录的.bash_history文件。默认情况下,系统可以保存1000条的历史命令,并不记录命令执行的时间,根据需要进行安全加固。查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以.为名的文件夹具有隐藏属性。...
应急响应-LINUX
m0_65096687的博客
05-29 225
入侵思路排查1.账号安全2.历史命令3.异常端口4.异常进程5.开机启动项6.检查定时任务7.检查服务8.检查异常文件9.检查日志。
Linux网站攻防演练常用操作实践
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-19 5879
项目背景 因适逢国家重大节日,诸如即将到来的70周年国庆阅兵,企业要求对公司各业务进行攻防演练,自查自纠,确保重保期间业务正常运转;各部门需要提前进行安全演练,加强和锻炼网络安全防控意识和应急处置能力。 演练检查项(针对Linux) 2.1)黑客入侵 当发生黑客入侵、系统崩溃,网页篡改,主机宕机或其它影响业务正常运行的安全事件时,急需第一时间响应处理,第一时间应急响应切断危害,及时确保业务系统在最...
应急响应之Windows/Linux(入侵排查篇)
做自己喜欢的事,并将其发挥到极致!
11-22 4746
0x01 应急响应介绍 当企业发生入侵事件、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 0x02 安全事件分级 I 级事件-特别重大突发事件 -> 网络大面积中断 -> 主要业务大规模瘫痪 -> 大规模用户/业务数据泄漏 II 级事件-重大突发事件 -> 大规模主机入侵 -> 大规模业务数据损坏 -> 小规模数据
linux入侵排查思路
04-24
首先,入侵排查需要对系统日志、网络流量、进程等进行全面的监控和分析。可以通过以下几种方式来排查入侵: 1. 分析系统日志:通过查看日志文件,寻找可疑的行为或异常情况,如登录失败、系统崩溃等。同时,需要定期备份与归档日志文件,以便进行后续的分析和审计。 2. 检查进程和服务:通过查看系统进程和服务、端口和流量等,判断是否有不正常的进程或服务在运行,或者是否有不正常的流量或访问行为等。 3. 检查系统漏洞和弱口令:通过扫描系统漏洞和弱口令,发现系统存在的漏洞,及时进行修复。建议使用强密码和定期更换密码等方式,以增强系统安全性。 4. 使用安全工具:可以使用各种安全工具,如IDS/IPS、防火墙、安全日志管理系统等,以增强系统安全性,并及时发现和防御入侵行为。 综上所述,入侵排查需要全面的监控和分析,结合各种安全工具和策略,以保障系统安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值