Linux应急响应

已于 2022-08-06 21:27:16 修改
阅读量619 收藏 5
点赞数 2
文章标签: linux 安全
于 2021-03-03 16:05:28 首次发布
原文链接:https://xie1997.blog.csdn.net/article/details/94397856
版权

Linux应急响应

1先使用 history 查看主机的历史命令
排查用户信息
whoami #查看当前用户身份
who #查看当前登录系统的所有用户
w #显示已经登陆系统的用户列表,并显示用户正在执行的指令
users #显示当前登录系统的所有用户的用户列表
id #当前用户信息
id || (whoami && groups) 2>/dev/null #当前用户信息
cat /etc/passwd | cut -d: -f1 #查看所有的用户名
cat /etc/passwd | grep “sh$” #查看拥有bash的用户
awk '/$1|$6/{print KaTeX parse error: Expected 'EOF', got '}' at position 2: 1}̲' /etc/shadow …" | grep “ALL=(ALL)” #查看拥有sudo权限的用户
sudo -l #列出目前用户可执行与无法执行的指令
awk -F: ‘$3==0{print $1}’ /etc/passwd #查看超级用户(uid=0),有些黑客将普通用户的uid改为0,则该普通用户也拥有了超级权限

2排查进程端口相关的信息
top #动态查看进程
ls -l /proc/18176/exe #查看PID为18176的进程的可执行程序
lsof -p 18176 #查看PID为18176的进程打开的文件
lsof -c sshd #查看进程sshd打开的文件
lsof -i:33946 #查看33946端口对应的一些进程
ps -p PID -o lstart #查看进程的启动时间点
netstat -pantu | grep 18176 #查看端口连接情况,过滤含有18176的行,就可以查看连接的端口
fuser -n tcp 33946 #查看33946端口对应的进程PID
ps aux / ps -ef #静态查看进程
pstree #查看进程树
ps aux --sort -pcpu #静态查看进程,根据cpu使用情况排行,从高到低
ps aux --sort -pmem #静态查看进程,根据内存使用情况排行,从高到低

3查找恶意程序并杀掉
ls -l /proc/18176/exe
lsof -p 18176
strace -tt -T -e trace=all -p 1389 #跟踪1389进程运行情况
kill -9 18176

4斩草除根
可以使用以下命令查看定时任务
crontab -l 或者 cat /var/spool/cron/root
我们也可以查看定时任务的日志文件
more /var/log/cron
#查找cron文件中是否存在恶意脚本
/var/spool/cron/* /etc/crontab /etc/cron.d/* /etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/* /etc/cron.weekly/ /etc/anacrontab /var/spool/anacron/*

#查看指定目录最近3天内被修改的文件
find /etc/ /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime -3 | xargs ls -la

#按时间排序,确认最近是否有命令被替换,可以结合rpm -Va命令
ls -alt /usr/bin /usr/sbin /bin /sbin /usr/local/bin | rpm -Va>rpm.log

#查看是否有异常开机启动项
cat /etc/rc.local | chkconfig --list

5借助工具查杀病毒和rootkit
#查杀rootkit
chkrootkit (下载地址-http://www.chkrootkit.org)rkhunter (下载地址-http://rkhunter.sourceforge.net)

#查杀病毒
clamav(下载地址-http://www.clamav.net/download.html)

#查杀webshell
cloudwalker(下载地址-http://github.com/chaitin/cloudwalker)

6判断入侵方式,修复漏洞
查看 /var/log/secure文件
cat /var/log/secure* | grep Accepted #查看登录成功的记录
cat /var/log/secure* | grep Failed #查看登录失败的记录

grep "Accepted " /var/log/secure* | awk ‘{print $1,$2,$3,$9,$11}’ #查看登录成功的日期、用户名及ip

grep “Failed password for root” /var/log/secure | awk ‘{print $11}’ #查看有哪些ip在爆破主机的root账号

grep “Failed password” /var/log/secure | awk {‘print $9’} | sort | uniq -c | sort -nr #查看爆破用户名字典

黑客入侵主机有下列几种情况:
(1)通过 redis 未授权漏洞入侵
(2)ssh 弱口令暴力破解
(3)Web 程序漏洞入侵

carefree798
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Linux应急响应工具箱
03-31
在IT领域,Linux应急响应是处理系统安全事件的关键环节,特别是在面临恶意软件攻击或系统被入侵的情况下。"Linux应急响应工具箱"是一个集合了多种工具和脚本的资源,旨在帮助管理员快速、有效地分析和应对安全问题。...
最新Linux 应急响应手册v1.8 发行版
01-11
最新Linux 应急响应手册v1.8 发行版
实战Linux应急响应踩坑与深度反思(下)
技术超强的网络安全平台
05-21 548
隐藏进程应急响应 首先状况是出现了系统卡顿,不知道怎么回事,查看了自己的CPU并未发现异常 查看是否有异常进程并未发现有异常进程,思考的问题来了为什么会有外网连接的ip 查看任务并未发现定时任务 在/etc下面的目录查找最近12小时被修改的文件,在这里第一开始的时候是在~目录下查找,由于文件太多不易分辨,所以就依次在一些常用的系统目录进行查找 /etc/ld.so.preload 文件的变更需要引起注意,这里涉及到 Linux 动态链接库预加载机制,是一种常用的进程隐藏方法,而 top 等命令都是受
已解决:cat: /var/log/boot.log: Permission denied
weixin_45942949的博客
03-30 3139
目录 错误: 分析: 解决办法: 方法一: 方法二:(我用下面的方法没有解决,但是大家可以试试) 虚拟机:CentOS 7 错误 打算查看boot.log日志文件的内容,出现如下错误: cat: /var/log/boot.log: Permission denied 分析 Permission denied:没有权限进行读、写、创建文件、删除文件等操作。 赋予权限就可以了。 解决办法 方法一 输入命令:su 会提示输入密码,密码是不可见的,正常输入密码即可,输入完成
Linux应急响应
weixin_64312503的博客
05-21 107
上一篇文章主要介绍了windows应急响应的基础技术分析能力,那么本章继续对linux操作系统中应急响应的基础技术分析能力做一下介绍,希望能对有需要的同学有帮助。以上便是我对linux系统中应急响应过程中常用的一些功能和分析方法,从10个方面进行了描述。当然往往一些安全事件的复杂性可能超出了这些范围,但是当我们将基础的一些思路和方法都掌握了,对于一些变化上的分析灵活运用和实操便可。文章转载至:奇安信攻防社区-Linux应急响应篇 (butian.net)
Linux日志分析
Stestack的博客
05-16 436
linux常见日志分析
应急响应-LINUX
m0_65096687的博客
05-29 223
入侵思路排查1.账号安全2.历史命令3.异常端口4.异常进程5.开机启动项6.检查定时任务7.检查服务8.检查异常文件9.检查日志。
linux 日志 取证,Linux系统取证
weixin_29706351的博客
05-01 586
Linux系统取证1、查看系统信息name -a #查看内核/操作系统/CPU1.pnghead -n 1 /etc/issue #查看操作系统版本2.pngcat /proc/cpuinfo #查看cpu信息3.pngenv #查看系统环境变量4.png2、用户及组信息w #查看活动用户5.pngcut -d: -f1 /etc/passwd #查看系统所有用户6.pngcut -d: ...
Linux 应急响应流程及实战演练.docx
06-10
Linux应急响应流程及实战演练】是针对企业在遭遇黑客入侵、系统崩溃等安全事件时,如何迅速恢复网络信息系统正常运行的指南。以下是一些关键的知识点: 1. **账号安全**: - `/etc/passwd` 文件存储了所有用户的...
Linux 应急响应手册v1.3 发行版-s1
08-04
Linux 应急响应手册v1.3 发行版-s1 本手册旨在提供 Linux 操作系统的应急响应指南,帮助用户快速处理常见的安全事件和故障排除。下面是从本手册中提取的关键知识点: Linux 应急响应 * 应急响应手册v1.3 发行版-...
Linux应急响应辅助排查脚本
10-20
Linux应急响应辅助排查脚本 一键运行导出日志 将该脚本下载并移动到Linux任意文件夹,以root权限运行即可导出result.log辅助快速应急响应主机排查。 可使用此脚本用于分析日常服务器差异及被攻击行为。
/var/log/secure
Jonathan158的专栏
05-22 6648
按照我个人的理解,/var/log/secure 这个文件是记录服务器登陆行为的。那个文件如果很大,说明有人在破解你的root密码(一般是SSH暴力破解),可以通过这个日志查到对方的IP,每次登陆,无论密码对错都会被详细记录下来,所以文件会很大,解决办法是在/etc/hosts.deny 文件中加入IP,服务器就会拒绝这个IP的SSH登陆,语法: sshd:IP 如果对方频繁换IP,可以用
找不到系统安全日志/var/log/secure文件的问题
haojianxiang的专栏
10-16 2万+
今天打算配置一个服务器防止暴力破解的脚本,原理不复杂,搜索登录错误超过一定次数的ip地址,加入防火墙,但是在找登录日志的时候出现了问题。 一般服务器的ssh登录等操作日志都是/var/log/secure,但我使用是比较新版本的Ubuntu(Ubuntu 16.04.2),找不到这个日志,syslog.conf配置也没找到。最后查到很多linux的新发行版已经不再使用,改为使用rsyslog,找
应急响应-Linux
m0_52920608的博客
08-03 291
应急响应 Linux
1 linux网络诊断命令工具_linux诊断网络故障命令(1)
2401_83974173的博客
04-27 451
12、DNS和NS查找工具14、Batfish15、Fiddler17、nload实时监控网络带宽CPU 方面内存IO 设备(磁盘、网络)网络工具mtr更多介绍 : https://mp.weixin.qq.com/s/-lru6FAhkXTo7gLCCfWlyg。
var/log/secure下提示的一些错误的解决
weixin_34166847的博客
09-30 932
var/log/secure下提示的一些错误的解决 文章作者:Enjoy 转载请注明原文链接。今天发现这台rashost的VPS上的空间不够了,发现var/下居然有1.4G,看了下var/log/secure有1G。。。。。。原来是开了proftpd,然后不断有人在试用户名和密码,记录了一大堆这些日志。哎!关闭后,这些日志就消失了。接下来,在secure中还看到了如下这些错误...
「干货」Linux 应急响应日志分析命令「详细总结」
橙留香Park的博客
02-25 6273
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
Linux实时查看文件/var/log/messages以及这个文件的问题
热门推荐
Pruett的博客
07-01 3万+
耐心看完说不定有你遇到的问题 1./var/log/messages 首先说一下这个文件的存在,在Ubuntu系统中,这个文件你访问可能提示找不到这个文件 //使用tail命令访问 name@name:~$ sudo tail /var/log/messages tail:无法打开'/var/log/messages' 读取数据: 没有那个文件或目录 tail:没有剩余文件 可能会出现...
应急响应-技术操作指南
qq_50765147的博客
02-02 955
使用【lastlog】命令,可查看系统中所有用户最后登录信息。如图所示,只有root用户在7月12日登录过系统,其他用户为登录过。由此,可根据登录IP地址和登录时间进一步溯源分析。
Linux应急响应流程
最新发布
06-09
Linux应急响应Linux Incident Response, LIR)是一个系统管理员或安全专家在Linux系统遭受安全事件时采取的一系列步骤。这个流程通常包括以下几个阶段: 1. **检测和确认**: - 监控系统日志和安全工具(如审计...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值