易丢失数据:系统时间,网络连接,端口信息,进程数据,当前登录用户
非易丢失数据:历史命令,系统日志,应用日志,计划任务,账户信息
本地登录以及通过ssh登录的账户信息和用户信息:
more /etc/shadow>users.log
(查看第一行) more /etc/shadow|cut -d :-f 1
网络连接:主机与外部的信息连接,提取网络端口、ip信息
cd /etc/sysconfig/network-scripts/ +ls查看网络配置信息文件
route 查看网络的基本内容
进程信息:ps -ef(可以查看到系统开启的服务器进程),ps -aux,top
服务信息:
1、排查开机自启动的恶意程序
cd /etc/rc.d
ls
cat rc.local
2、检查所有cron和at定时调用执行作业中是否有非法作业
/etc/crontab
/etc/cron.d/
/var/spool/cron/*
/var/log/cron 或者执行cronrab -l 列出所有定时任务
账户信息:排查系统中的账户信息,黑客入侵往往会添加后门账户或修改现有用户信息
cat /etc/passwd or cat /etc/shadow
重点需要关注的:新增的用户,uid为0的用户,shell环境为/bin/bash的系统用户,空口令账户
防火墙规则:特定应用程序对外的通信端口
使用命令:iptables -L
linux系统日志文件 : 路径/var/log
1 /var/log/message--系统启动后的信息和错误日志
2 /var/log/secure--与安全相关的日志信息
3 /var/log/maillog--与邮件有关的日志信息
4 /var/log/wtmp--该日志文件永久记录每个用户登录、注销以及系统启动、停机的事件
5 bash_history--shell日志
6 FTP-transfer.log
7 /var/log/httpd--linux系统下面apache的默认日志路径
linux下可疑文件排查:检查系统非正常的隐藏文件
检查没有用户或组的文件: find / -nouser -o no group
检查隐藏目录或文件 find / -name ".*"
检查带setuid和setgid位的文件 find / -type f -perm -4000
根据时间检查文件 find /dir/ -cmin -30,find /dir/ -mmin -30
find /dir/ -amin -30,find /dir/ -ctime -1
lsof命令:
lsof filename:显示打开指定文件的所有进程
lsof -p pid:列出进程pid所打开的所有文件
lsof -u username:显示所属user进程打开的文件
lsof -c string:显示command列中包含指定字符的进程所有打开的文件
lsof -g gid:显示归属gid的进程情况
lsof +d /dir/:显示目录下被进程打开的文件