Linux入侵排查

于 2022-11-26 19:53:14 发布
阅读量1.3k 收藏 9
点赞数 1
分类专栏: 渗透测试 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhscxj/article/details/127989607
版权

Linux入侵排查

实验内容

当系统被黑客入侵、需短时间查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施。以下给出一些入侵排查思路

netstat -antpl

查看当前端口状态是LISTEN的端口

针对对外开放的端口,查看日志

先查看ssh爆破的日志

vim /var/log

如果登录成功日志中会出现关键字 Accepted password

可通过下面命令,进行查找

grep "Accepted password" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

查看nginx日志

这样看的话很乱,我们可以通过命令进行筛选

 cat access.log | awk '{print $1,$6,$7,$9}' >1.txt

 进入1.txt查看

lastlog查看最近登录过的用户

history 查看历史执行命令

history -c 清除历史执行命令记录

cat /root/.bash 查看历史执行命令

rm- rf /root/.bash删除

可通过su命令进入入侵者新建的用户,通过history 或者 cat /root/.bash 查看攻击者执行的历史命令

 异常服务排查

 

crontab -l 查看当前用户设置的计划任务

cat /root/.bash_history 查看当前用户设置的计划任务

异常启动排查

 

深白色耳机
关注
专栏目录
Linux 入侵排查
学-> 思->用
11-19 238
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
Linux环境下黑客入侵排查步骤
liguangyao213的博客
10-30 1267
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。 0x01 入侵排查思路 1.1 账号安全 基...
Linux入侵排查.docx
05-07
Linux 入侵排查 Linux 入侵排查是指在 Linux 系统中检测和处理黑客入侵、系统崩溃或其他影响业务正常运行的安全事件的过程。快速响应和处理这些事件对于保护企业的网络信息系统和减少经济损失至关重要。 0x00 前言...
linux入侵排查(操作截图).docx
07-10
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为...
【应急响应】Linux入侵排查思路
09-18
【应急响应】Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程...
linux入侵排查
weixin_46476861的博客
04-08 4119
入侵排查思路 一、账号安全 linux要么就是弱口令通过root进来,要么就是创建了一个账号进来了 sudo命令以系统管理者的身份执行指令,也就是说,经由 sudo 所执行的指令就好像是 root 亲自执行。 二、历史命令 基本使用: 1、root的历史命令 histroy 三、端口 使用netstat 网络连接命令,分析可疑端口、IP、PID 四、进程 使用ps命令,分析进程 ps aux | grep pid 面试题:linux里把病毒进
Linux入侵问题排查
weixin_30532369的博客
12-04 184
1.深入分析,查找入侵原因 1.1 检查隐藏账户及弱口令 1.1.1、检查服务器系统及应用账户是否存在弱口令 检查说明:检查管理员账户、数据库账户、MySQL账户、tomcat账户、网站后台管理员账户等密码设置是否较为简单,简单的密码很容易被黑客破解 解决方法:以管理员权限登录系统或应用程序后台,修改为复杂的密码 风险性:高 1.1.2、使用 last 命令查看服务器近期登录的账户记录,确认...
Linux 用户账号安全管理,文件系统和日志
qq_39109226的博客
11-02 528
1.系统级别安全加固 * 基本安全措施 * 切换用户 su * 提升权限 sudo * PAM安全认证 * 开关及安全控制 * 终端登录安全设置 * 弱口令检测 * 端口检测(NMAP) 2.系统行号清理 (1).将非登录用户shell改为/sbin/nologin * usermod -s * chsh 交互方式 * chsh -s /bin/bash/amber * chattr +a 1.txt 给1.txt加a锁,只可cp和echo * chattr -a 1.txt 减a锁 * chattr +
应急响应基础(二)——Linux入侵排查
橘子女侠
09-29 1493
Linux入侵排查思路 (1)账号安全 1、用户信息文件:/etc/passwd root:x:0:0:root:/root:/bin/bash 用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell 注意:无密码只允许本机登陆,远程不允许登陆 2、影子文件:/etc/shadow root:$6$dIEKcGV4PJpr6kGu$jSpNY9SGXkkE3XakM4n...
linux入侵排查思路
最新发布
04-24
首先,入侵排查需要对系统日志、网络流量、进程等进行全面的监控和分析。可以通过以下几种方式来排查入侵: 1. 分析系统日志:通过查看日志文件,寻找可疑的行为或异常情况,如登录失败、系统崩溃等。同时,需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值