应急响应基础 - Linux
-
关键目录
-
常用命令
-
日志分析
-
应急工具
关键目录:
| 文件名 | 说明 |
|---|---|
| /etc/passwd | 用户信息文件 |
| /etc/rc.d/rc.local | 开机启动项 |
| /root/.ssh | root用户ssh公钥和私钥(可能不在) |
| /tmp | 系统或用户临时文件的目录 |
| /etc/host | 本地IP地址域名解析文件 |
| /etc/init.d/ | 开机启动项 |
常用命令:
| 命令 | 解释 |
|---|---|
| ls -alt | 查看当前目录下所有的文件并排序 |
| free -h | 查看系统内存使用情况 |
| ps auxf ,top | 查看系统进程及子进程 |
| netstat -antpl | 查看网络连接 |
| ls -alt /porc/[pid] | 查看其对应的可执行程序 |
| lsof -i:[port] | 查看端口打开的文件 |
| lsof -p [pid] | 查看进程打开的文件 |
| lsof -u [root] | 查看用户打开的文件 |
| chattr | 修改文件属性 |
| lsattr | 显示文件属性 |
| grep | 查找符合条件的字符串 |
| history 、cat ~/.bash_history | 查看历史命令 |
| find / -mtime 0 -name *.jsp | 查找当前目录下,指定1天内修改的指定类型(or文件) |
| find / -ctime 0 -name *.jsp | 查找当前目录下,指定1天内新增的指定类型(or文件) |
| diff -c | 比较文件差异 |
| last | 查看用户登录历史记录 |
| lastb | 查看用户登录失败记录 |
| lastlog | 查看用户最近一次登录信息 |
排查启动项:
cat /etc/rc.local
cat /etc/init.d
ls -alt /etc/profile.d/*.sh //该目录下的.sh文件可以直接被运行查看定时任务:
cat /etc/passwd | cut -f 1-d : | xargs -l {} crontab -l -u {} //查看所有用户的计划任务
//计划任务可能存在的文件夹和文件
ls -altr /var/spool/cron/*
more /etc/crontab
more /etc/cron.d/*
more /etc/cron.daily/*
more /etc/cron.hourly/*
more /etc/cron.monthly/*
more /etc/cron.weekly/
more /etc/anacrontab
more /var/spool/anacron/*校验RPM软件包:
rpm -Va
dpkg -verify
S:表示对应文件的大小不一致
M:表示对应文件权限和所有权不一致
5:表示对应文件的MD5值不一致
D:表示文件的设备号和驱动程序不一致
L:表示文件的符号连接内容不一致
U:表示文件所有者不一致
G:表示文件的群组不一致
T:表示文件的修改时间不一致查找隐藏进程:
ps -ef | awk '{print $2}' | sort -n | uniq > ps.p //打印进程,awk过滤,导入ps.p
ls /porc | sort -n | uniq > porc.p //把所有进程文件的文件号导入porc.p
diff ps.p porc.p //比较文件Linux日志分析
-
Linux日志类型大致可以分为三类,内核和系统日志、用户日志、应用日志
-
内核和系统日志:这种日志主要由syslog管理、根据配置文件/etc/syslog.conf中的设置决定内核消息和各种系统程序信息记录到哪个位置
-
用户日志:用户日志主要记录系统用户登录或者退出的信息,包括用户名账号、登录时间、源IP等
-
应用日志:记录应用程序运行过程中的各种事件信息
| 日志文件 | 说明 |
|---|---|
| /var/log/messages | 系统重要信息日志 |
| /var/log/secure | 记录验证和授权方面的信息,例ssh登录、su切换用户、添加用户等 |
| /var/log/maillog | 记录系统运行电子邮件服务器的日志信息 |
| /var/log/cron | 记录系统定时任务相关日志 |
| /var/log/boot.log | 记录系统启动时候的日志,包括自启动的服务 |
| /var/log/dmesg | 记录内核缓冲信息 |
| /var/log/bmtp | 记录所有登录失败的日志 |
| /var/log/wtmp | 用户每次登录进入和退出时间的永久记录 |
| /var/log/lastlog | 记录所有用户的最近信息 |
日志分析 - secure日志
Apr 17 10:25:37 VM-0-17-centos sshd[18083]: Acceted publickey for root from 45.79.126.79 port 5729 ssh2: RSA SHA256:av1LZEMVmLIn1gDyaaMc8LWygx6KGLzjRa57Zvx7+ac
- Apr 17 10:25:37:事件发生的日期和时间,以月、日、小时和分钟的格式表示
- VM-0-17-centos:事件发生的机器的主机名
- sshd[18083]:服务的名称(sshd)和与事件相关的进程ID(18083)
- Acceted publickey:公钥身份验证成功
- for root:验证的用户账户是root
- from 45.79.126.79 port 5729 ssh2:来自IP地址45.79.126.79且SSH连接的端口是5729
- Failed password for root:密码身份验证失败,尝试验证root用户的密码查找每个IP地址的失败登录次数:
sudo awk '/sshd.*Failed/ {print $(NF-3)}' /var/log/secure | sort | uniq -c | sort -nr查找特定IP地址的失败登录:
sudo grep "sshd.*Failed.*from <IP_ADDRESS>" /var/log/secure | awk '{print $1,$2,$3,$9,$11}'查找特定IP地址的成功登录:
sudo grep "sshd.*Accepted.*from <IP ADDRESS>" /var/log/secure | awk '{print $1,$2.$3,$9,$11}'应急工具
① -- Busybox
-
一款集成了三百多个最常用Linux命令的工具集
-
属于静态链接库
-
当入侵者将系统命令进行了恶意替换之后,可以使用Busybox来进行命令操作
//先将busybox赋予可执行权限 $ ./busybox [系统命令] 例如:$ ./busybox netstat -antpl
② -- unhide
-
一款检测发现那些借助rootkit及其他技术隐藏的进程和TCP/UDP端口的命令行工具
-
可以使用yum和apt直接安装
③ -- chkrootkit
-
chkrootkit是一个Linux下检测rootkit的脚本
④ -- rkhunter
-
rkhunter是一个Linux下检测rootkit的脚本
-
可使用yum下载
⑤ -- clamav
-
一款用于检测木马、病毒、恶意软件和其他恶意威胁的开源防病毒引擎
-
官网下载:ClamAVNet
-
安装后需要修改配置文件
-
需要配合防病毒引擎使用
⑥ -- webshell查杀
-
河马webshell查杀工具
-
内存马查杀工具
549
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
