linux应急排查

最新推荐文章于 2024-06-29 08:47:03 发布
最新推荐文章于 2024-06-29 08:47:03 发布
阅读量874 收藏 8
点赞数 1
文章标签: 运维 linux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52766206/article/details/125954426
版权
本文详细介绍了Linux系统的应急排查过程,包括手工排查和使用脚本检测。手工排查涉及历史命令、后门账号、定时任务、异常网络连接、异常进程、异常文件、异常启动项及系统日志等。在排查中发现www用户的登录状态可疑,进一步检查揭示了恶意脚本文件和可疑进程。同时,使用D-Eyes工具进行快速排查,发现了多个可疑文件和进程。
摘要由CSDN通过智能技术生成

排查思路

手工排查

历史命令

history查看

在root用户下历史命令未发现异常,尝试一下登陆其他用户看看

后门账号

查看/etc/passwd判断是否存在除root以外的uid=0的账号

awk -F: '$3==0' /etc/passwd

不存在其他uid=0的账号

查看/etc/shadow判断是否可以远程登录

awk '/\$1|\$6/' /etc/shadow

定时任务

未发现定时任务

异常的网络连接

未发现异常

异常进程

最低0.47元/天 解锁文章
攻防小白
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
应急响应之Linux排查
xxx
06-01 386
Linux排查0X01 入侵排查1.1 查看linux账号信息1.2 入侵排查1.3 历史命令1.4 检查异常端口1.5 查看异常进程1.6 查看开机启动项1.7 检查定时任务1.8 重点关注目录 1.9 检查异常文件 1.9.1 linux日志位置合集0X02 工具篇**A、**查看用户信息文件 /etc/passwd 用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell **注意:**无密码只允许本机登陆,远程不允许登陆。**B、**查看影子文件 /etc/shadow 文件,用于存储
Linux应急响应排查
热门推荐
weixin_43526443的博客
01-29 7万+
上一篇文章说到Windows的应急响应排查,本篇文章就来说说Linux应急响应排查。 首先,前期交互这部分的内容还是不能少的,毕竟掌握的信息越多,排查的思路就越清晰。 Part1 熟悉主机环境 uname -a cat /proc/version lsb_release -a 首先,先对排查主机的基本信息有一个了解。 Part2 运行进程排查 首先熟悉一下ps命令的参数: ps [选项] -e 显示所有进程。 ...
应急响应之linux 排查
最新发布
网络安全
06-29 974
有招聘需求的可以后台联系运营人员。最近发现一个不错的在线靶场,给大家推荐一下。 玄机靶场地址:https://xj.edisec.net/第一章 应急响应- Linux入侵排查1.web目录存在木马,请找到木马的密码提交 2.服务器疑似存在不死马,请找到不死马的密码提交 3.不死马是通过哪个文件生成的,请提交文件名 4.黑客留下了木马文件,请找出黑客的服务器ip提交 5.黑客留下了木马...
linux系统应急响应排查手册
菜鸟-传奇
08-04 519
linux系统应急响应排查手册 系统登陆日志 /var/log/wtmp //登陆成功的信息,包括用户登录、注销及系统的启动、停机的事件 /var/log/btmp //登陆失败的信息 /var/run/utmp //正在登陆的信息 /var/log/secure //系统认证信息日志,包括用户登陆成功、登陆失败日志 wtmp last -f /var/log/wtmp last //登陆...
Linux应急响应之进程排查
qq_42671480的博客
05-20 830
Linux应急响应之进程排查篇 木马执行后,必然出现一个恶意进程。那么,该如何寻找这个进程呢? 我是通过这四个特征判断 (1)进程占用cpu,内存耗能高。 (2)进程运行时间,开始时间,差异化明显 (3)进程路径,使用命令参数异常 (4)多数病毒会替换系统命令 1.ps -aux USER 哪个用户启动了这个命令 PID 进程ID CPU CPU占用率 MEM 内存使用量 VSZ 如果一个程序完...
Linux应急响应排查基础.zip
02-11
Linux应急响应排查基础 包含如下7分文档 数据采集.docx history.docx 日志查看命令.docx PS.docx linux应急响应checkList.docx Linux应急响应.docx Linux日志系统.docx
Linux应急响应辅助排查脚本
10-20
Linux应急响应辅助排查脚本 一键运行导出日志 将该脚本下载并移动到Linux任意文件夹,以root权限运行即可导出result.log辅助快速应急响应主机排查。 可使用此脚本用于分析日常服务器差异及被攻击行为。
应急响应】Linux入侵排查思路
09-18
应急响应】Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程...
应急响应-linux入侵排查.md
06-19
应急响应-linux入侵排查.md
linux主机应急排查
weixin_39789796的博客
05-14 282
一、菜单打印 read -p "Press any key to continue." var echo -e "\033[34m[-]主机信息:\033[0m" # 当前用户 echo -e "USER:\t\t" $(whoami) 2>/dev/null # 版本信息 echo -e "OS Version:\t"`cat /etc/redhat-release` # 主机名 echo -e "Hostname: \t" $(hostname -s) # uptime echo -e "upt
Linux安全事件应急响应排查方法总结
weixin_34124939的博客
01-11 189
Linux安全事件应急响应排查方法总结 Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能、高扩展性、高安全性,受到了越来越多的运维人员追捧。但是针对Linux服务器操作系统的安全事件也非常多的。攻击方式主要是弱口令攻击、远程溢出攻击及其他应用漏洞攻击等。我的VPS在前几天就遭受了一次被恶意利用扫描其他主机SSH弱口令安全问题。以下是我针对此次攻击事件,结合工作中Linux安全事件分...
linux 应急响应 病毒清除 系统加固
whatday的专栏
11-12 738
概述 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Linux没有像Autorun、procexp这样的应急响应利器,也没有统一的应急响应处理流程。所以,这篇文章将会对Linux环境下的应急响应流程进行讲解,并且提供每一个环节中所用到的shell命令,以帮助大家快速、系统化地处理Linux环境下的病毒。 处理Linux应急响应主要分为这4个环节:识别现象->...
应急响应篇之Linux入侵排查
薛定谔嘚喵博客
06-25 1221
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。
Linux应急响应入侵排查思路
10-28 137
0x00 前言 ​ 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。 0x01 入侵排查思路 一、账号...
linux应急上级排查
11-08
Linux应急响应是指在Linux系统遭受攻击或者出现异常情况时,对系统进行快速响应和处理的过程。以下是一些应急响应的步骤和方法: 1. 确认攻击类型和攻击路径,尽可能地收集攻击相关的日志和信息。 2. 立即采取措施,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值