应急响应基础--Linux
应急响应基础--Linux
1.系统排查
1.1系统基本信息
lscpu 命令行输入lscpu,查看cpu相关信息
uname -a 查看操作系统信息
cat /proc/version 操作系统版本信息
lsmod 查看已载入系统的模块信息
1.2用户信息
cat /etc/passwd #查看系统所有用户信息
awk -F: '{if($3==0)print $1}' /etc/passwd #分析超级权限账户,查看uid为0的账户
cat /etc/passwd | grep '/bin/bash' #查看可登录的账户
lastb #查看用户错误的登录信息(root权限)
lastlog #查看所有用户最后的登录信息
last #查看用户最近登录信息
who #查看当前用户登录系统情况
awk -F: 'length($2)==0 {print $1}' /etc/shadow #查看空口令账户
列举部分命令
1.3启动项
cat /etc/init.d/rc.local #查看init.d 文件夹下的rc.local文件内容
cat /etc/rc.local #可查看rc.local文件内容
ls -alt #列出指定目录下的所有文件和目录
ls -alt /etc/init.d #查看init.d 文件夹下的所有详细信息
1.4 任务计划
crontab -l #查看当前任务计划
crontab -u root -l #查看root用户的任务计划
2.进程排查
netstat #分析可疑端口、ip、pid
ls -alt /proc/PID #查看某PID对应执行程序
lsof -p PID #查看某PID的进程所打卡的文件
kill -9 PID #结束某pid恶意进程
rm -rf filename #删除某文件
lsattr filename #如果root无法删除则查看文件属性
chattr -i filename #移除i属性
top #查看cpu占用率情况
chkconfig --list #查看系统运动的服务
ps -ef | awk '{print}' | sort -n | uniq >1
ls /proc |sort -n |uniq >2
diff 1 2 # s三个命令依次查看隐藏进程
3.文件痕迹排查
#敏感目录
/tmp和 /usr/bin/usr/sbin #两个常作为恶意软件下载的目录
~/.ssh 和 /etc/ssh #常作为一些后门配置的路径
#时间点查找
find -mtime -n #按文件更改时间来查找 -n指n天内
find -atime -n #按文件访问时间来查找
find -ctime -n #按文件创建时间来查找
find / -ctime 0 -name "*.sh" #查找一天内新增的sh文件
ls -alt | head -n 10 #查看排序后前10行的内容
#特殊文件
find /tmp -perm 777 #特殊权限文件查找
find /var/www/ -name "*.php" | xargs egrep #查找/var/www/目录下所有php文件,并且查询是否有关键字
ls -alt /bin #查看命令系统命令修改时间
ls -alh /bin #查看文件大小,若明显偏大则可疑
#后门检测
chkrootkit 工具检测rootkit
列举部分命令
4.日志分析
/var/log/wtmp #记录登录退出、关机重启 即last
/var/log/cron #记录与定时任务相关的日志信息
/var/log/messages #启动后的信息和错误日志
/var/log/apache2/access.log #记录apache的访问日志
/var/log/auth.log #记录系统权限信息
/var/log/userlog #记录等级用户信息的日志
/var/log/faillog #登录系统不成功账户信息
cat /var/log/secure #查看验证授权方面的信息
ls -alt /var/spool/mail #查看邮件相关日志记录文件
cat /var/spool/mail/root #可发现针对80端口的攻击行为
tail -n 10 test.log #查询最后10行的日志
tail -n +10 test.log #查询10行之后的所有日志
head -n 10 test.log #查询头10行的日志
#指定时间段查看日志
sed -n '/2024-6-4 15:14:20/,/2024-6-5 21:20:50/p' test.log
grep '2024-6-4 16:15:22' test.log
#查看登录成功日期、IP地址、用户名
grep "Accepted" /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
#ISS Apache Nginx Tomcat 遇到对应直接搜索
列举部分命令
‘
- 点赞
- 收藏
- 关注作者
评论(0)