Linux应急响应排查

已于 2024-01-10 14:04:20 修改
阅读量7.9w 收藏 165
点赞数 21
分类专栏: 应急响应 文章标签: linux 运维 服务器 应急响应
于 2022-01-29 16:20:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43526443/article/details/122744731
版权

        上一篇文章说到Windows的应急响应排查,本篇文章就来说说Linux的应急响应排查。

        首先,前期交互这部分的内容还是不能少的,毕竟掌握的信息越多,排查的思路就越清晰。

目录

Part1 熟悉主机环境

Part2 运行进程排查

Part3 端口开放检查

Part4 检查主机服务

Part5 检查历史命令

Part6 查看计划任务

Part7 查看制定文件夹七天内被修改过的文件

Part8 扫描主机驱动程序

Part9 查看攻击者是否在authorized_keys添加ssh私钥

Part10 日志排查

Part11 登陆排查

Part12 启动项排查

Part1 熟悉主机环境

  • uname -a

  • cat /proc/version

  • lsb_release -a

首先,先对排查主机的基本信息有一个了解。

Part2 运行进程排查

首先熟悉一下ps命令的参数:

  • ps [选项]

    • -e 显示所有进程。

    • -f 全格式。

    • -h 不显示标题。

    • -l 长格式。

    • -w 宽输出。

    • a 显示终端上的所有进程,包括其他用户的进程。

    • r 只显示正在运行的进程。

    • u 以用户为主的格式来显示程序状况。

    • x 显示所有程序,不以终端机来区分。

  • ps -ef

  • 参数含义:

    • 1.UID 用户ID

    • 2.PID 进程ID

    • 3.PPID 父进程ID

    • 4.C CPU占用率

    • 5.STIME 开始时间

    • 6.TTY 开始此进程的TTY----终端设备

    • 7.TIME 此进程运行的总时间

    • 8.CMD 命令名

  • ps aux

  • 参数含义:

    • USER //用户名

    • %CPU //进程占用的CPU百分比

    • %MEM //占用内存的百分比

    • VSZ //该进程使用的虚拟內存量(KB)

    • RSS //该进程占用的固定內存量(KB)(驻留中页的数量)

    • STAT //进程的状态

    • START //该进程被触发启动时间

    • TIME //该进程实际使用CPU运行的时间

  • top (动态查看进程)

  • pstree(树形结构显示进程之间的关系)

通过进程运行的命令、资源占用、位置等来查找可疑进程。查找到可以进程后可以使用ll /proc/[进程pid]来获取进程运行的路径。

查找到可以进程后可以使用kill -9 [进程pid]来杀死进程。

  • ps -p [pid] -o lstart(查看进程开放的时间)

  • pstree -h [pid] -p -a 查看某个pid的进程树

Part3 端口开放检查

  • netstat -antpl(查看开放端口)

可以通过判断开放的异常端口来进行排查,或通过state字段来判断有没有端口进行网络连接。

  • lsof -i(查看正在进行的网络连接)

  • lsof -p [pid]查看进程PID打开的文件

  • lsof -c [进程名]查看该进程打开的文件

  • lsof -i:[端口号]查看该端口对应的进程

  • fuser -n tcp [端口号]查看该端口对应的进程pid

Part4 检查主机服务

service --status-all(枚举主机的所有服务)

Part5 检查历史命令

  • history

  • cat ~/.bash_history

Part6 查看计划任务

  • crontab -l

  • cat /etc/anacrontab 查看异步定时任务

  • more /var/log/cron 查看计划任务日志

  • more /var/spool/cron/*

Part7 查看制定文件夹七天内被修改过的文件

  • find /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime +7 | xargs ls -alh

Part8 扫描主机驱动程序

  • lsmod

Part9 查看攻击者是否在authorized_keys添加ssh私钥

  • ll ~/.ssh

Part10 日志排查

  • /var/log/message 包括整体系统信息

  • /var/log/auth.log 包含系统授权信息,包括用户登录和使用的权限机制等

  • /var/log/userlog 记录所有等级用户信息的日志

  • /var/log/cron 记录crontab命令是否被正确的执行

  • /var/log/xferlog(vsftpd.log) 记录Linux FTP日志

  • /var/log/lastlog 记录登录的用户,可以使用命令lastlog查看

  • /var/log/secure 记录大多数应用输入的账号与密码,登录成功与否

  • /var/log/wtmp 记录登录系统成功的账户信息,等同于命令last

  • /var/log/faillog 记录登录系统不成功的账号信息,一般会被黑客删除 如果开启了一些服务,也需要对服务运行的日志进行排查

Part11 登陆排查

  • who (查看当前登录的用户)

  • w(显示已登陆的用户,且在执行的命令)

  • last (查看登录成功的用户)

  • lastb(查看最近登录失败的用户)

  • lastlog (查看所有用户最近登录的时间)

  • cat /etc/passwd(查看用户信息)

排查passwd时,注意查看可登录shell的用户,即:shell为/bin/bash

  • awk -F: '$3==0{print $1}' /etc/passwd #查看超级用户(uid=0)

Part12 启动项排查

  • chkconfig --list 列出所有开机启动项

  • 主要排查的启动项有:

    • /etc/rc.d/rc

    • /etc/rc

    • /etc/rc.local

    • /etc/rc.d/rc.local

    • /etc/rc.d/rc

    • /etc/init/*.conf

    • /etc/rc$runlevel.d/

    • /etc/profile

    • /etc/profile.d/

以上就是本篇文章的全部内容,如有填充,请大家点出。

“D&X 安全实验室”

专注渗透测试技术

全球最新网络攻击技术

土豆.exe
关注
  • 21
    点赞
  • 165
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
应急响应Linux应急响应排查思路,应急响应基础技能
wangyuxiang946的博客
05-29 4万+
结合实战案例逐步讲解Linux应急响应排查思路。
Linux应急响应排查基础.zip
02-11
Linux应急响应排查基础 包含如下7分文档 数据采集.docx history.docx 日志查看命令.docx PS.docx linux应急响应checkList.docx Linux应急响应.docx Linux日志系统.docx
linux应急响应
最新发布
hakksjss的博客
04-08 1189
注意:尽量禁用,等待所有应急操作结束后在删除用户及目录。禁用账号,始账号无法登陆,特点为第二栏,为!记录用户登录、注销、重启、关机等事件,,注:无密码用户默认仅能本地登录。是否存在管理员不明确身份的账号。确认可远程账户是否设置强密码,等对方操作系统有的终端都要看。可查看计划任务的基本使用格式。删除用户,并移除其家目录。重点检查运行的脚本、文件。②匹配查找文件生成时间。③检查隐藏文件或文件夹。查看hisroty记录。匹配关键字,排列、去重。检查是否存在自启服务。
应急响应篇之Linux入侵排查
薛定谔嘚喵博客
06-25 1165
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。
应急响应】- Linux 系统分析排查
buffedon的博客
12-31 1534
应急响应 - Linux 分析排查。包括开机启动项、新增文件、网络连接、进程分析、异常用户分析、计划任务等
Linux应急响应
不知名白帽的博客
06-18 1459
主要讲解关于Linux的一些快捷命令,用于应急响应,查看主机是否被入侵
应急响应Linux排查
xxx
06-01 374
Linux排查0X01 入侵排查1.1 查看linux账号信息1.2 入侵排查1.3 历史命令1.4 检查异常端口1.5 查看异常进程1.6 查看开机启动项1.7 检查定时任务1.8 重点关注目录 1.9 检查异常文件 1.9.1 linux日志位置合集0X02 工具篇**A、**查看用户信息文件 /etc/passwd 用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell **注意:**无密码只允许本机登陆,远程不允许登陆。**B、**查看影子文件 /etc/shadow 文件,用于存储
Linux应急响应辅助排查脚本
10-20
Linux应急响应辅助排查脚本 一键运行导出日志 将该脚本下载并移动到Linux任意文件夹,以root权限运行即可导出result.log辅助快速应急响应主机排查。 可使用此脚本用于分析日常服务器差异及被攻击行为。
应急响应Linux入侵排查思路
09-18
应急响应Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程...
Linux 应急响应流程及实战演练.docx
06-10
Linux应急响应流程及实战演练】是针对企业在遭遇黑客入侵、系统崩溃等安全事件时,如何迅速恢复网络信息系统正常运行的指南。以下是一些关键的知识点: 1. **账号安全**: - `/etc/passwd` 文件存储了所有用户的...
Linux 应急响应入门——入侵排查.doc
01-20
Linux 应急响应入门——入侵排查 Linux 应急响应入门——入侵排查是指在 Linux 系统中检测和响应入侵活动的技术和方法。本文档将详细介绍 Linux 应急响应入门——入侵排查的基本概念、核心技术和应用场景。 一、...
应急响应篇-Linux 文件排查
cavathon的博客
03-23 412
Webshell的排查。在Linux中Webshell的排查可以通过分析文件、流量、日志进行基本的分析。命令可以详细查看文件的时间信息,如果发现文件的某一时间信息与应急响应时间日期相近、说明可能被篡改,使用。/tmp、/usr/bin、/usr/sbin等经常作为攻击者下载恶意软件的目录及替换文件的目录。此外,~/.ssh及/etc/ssh也经常被攻击者配置后门,需重点排查。查看指定目录时,可以对文件时间进行排序使用命令。查看相关系统命令的修改时间、使用。可查找一天内新增的sh文件。权限的文件进行筛选。
Liunx应急上机排查脚本
Delphinidae
06-27 681
应急排查 建议先清除计划任务、启动项、守护进程,再清除恶意进程。 应急排查收集常见信息脚本 #!/bin/bash #Liunx 应急响应上机信息收集 #应急清理:建议先清除计划任务、启动项、守护进程,再清除恶意进程。 # busybox 安装 #yum -y install wget make gcc perl glibc-static ncurses-devel libgcrypt-devel #wget http://busybox.net/downloads/busybox-1.33.0.tar.
一款批量Linux应急响应检查工具
bdfcfff77fa的博客
12-26 895
一款批量Linux应急响应检查工具
linux 应急响应 病毒清除 系统加固
whatday的专栏
11-12 715
概述 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Linux没有像Autorun、procexp这样的应急响应利器,也没有统一的应急响应处理流程。所以,这篇文章将会对Linux环境下的应急响应流程进行讲解,并且提供每一个环节中所用到的shell命令,以帮助大家快速、系统化地处理Linux环境下的病毒。 处理Linux应急响应主要分为这4个环节:识别现象->...
Linux 应急响应-溯源-系统日志排查
weixin_44143876的博客
01-24 1816
Linux 应急响应-溯源-系统日志排查
linux应急排查
weixin_52766206的博客
07-24 831
简单的排查方法及思路
java linux日志
05-27
Java用程序在Linux环境下运行时会产生各种日志,这些日志可以帮助开发人员和系统管理员定位和解决问题。通常,Java应用程序会将日志记录到标准输出流和标准错误流中。这些日志可以通过重定向到文件来保存。另外,Java还提供了Log4j、Logback等日志框架,可以更好地管理和记录日志信息。 在Linux系统中,日志通常保存在/var/log目录下。常见的日志文件有: - /var/log/messages:系统日志文件,包含系统启动和运行时的信息。 - /var/log/auth.log:认证和授权日志,记录用户登录、su切换用户等操作。 - /var/log/syslog:系统日志文件,包含系统启动和运行时的信息。 - /var/log/dmesg:内核日志,记录内核启动和运行时的信息。 Java应用程序的日志信息可以通过配置Log4j、Logback等日志框架来记录到指定的文件中。在Logback中,可以通过配置文件指定日志输出的目标文件和日志级别,例如: ``` <configuration> <appender name="FILE" class="ch.qos.logback.core.FileAppender"> <file>/var/log/myapp.log</file> <encoder> <pattern>%d [%thread] %-5level %logger{36} - %msg%n</pattern> </encoder> </appender> <root level="debug"> <appender-ref ref="FILE" /> </root> </configuration> ``` 以上配置将日志记录到/var/log/myapp.log文件中,日志级别为debug及以上。开发人员可以根据需要自定义日志输出格式和级别。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

土豆.exe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值