应急响应基础--Linux

举报
yd_220809066 发表于 2024/06/13 15:41:09 2024/06/13
【摘要】 Linux系统,应急响应

应急响应基础--Linux

1.系统排查

1.1系统基本信息

lscpu 命令行输入lscpu,查看cpu相关信息
uname -a 查看操作系统信息
cat /proc/version 操作系统版本信息
lsmod 查看已载入系统的模块信息

1.2用户信息

cat /etc/passwd #查看系统所有用户信息
awk -F: '{if($3==0)print $1}' /etc/passwd #分析超级权限账户,查看uid为0的账户
cat /etc/passwd | grep '/bin/bash' #查看可登录的账户
lastb #查看用户错误的登录信息(root权限)
lastlog #查看所有用户最后的登录信息
last #查看用户最近登录信息
who #查看当前用户登录系统情况
awk -F: 'length($2)==0 {print $1}' /etc/shadow #查看空口令账户

列举部分命令

1.3启动项

cat /etc/init.d/rc.local #查看init.d 文件夹下的rc.local文件内容
cat /etc/rc.local #可查看rc.local文件内容
ls -alt #列出指定目录下的所有文件和目录
ls -alt /etc/init.d #查看init.d 文件夹下的所有详细信息

1.4 任务计划

crontab -l #查看当前任务计划
crontab -u root -l #查看root用户的任务计划

2.进程排查

netstat #分析可疑端口、ip、pid
ls -alt /proc/PID #查看某PID对应执行程序
lsof -p PID #查看某PID的进程所打卡的文件
kill -9 PID #结束某pid恶意进程
rm -rf filename #删除某文件
lsattr filename #如果root无法删除则查看文件属性
chattr -i filename #移除i属性
top #查看cpu占用率情况
chkconfig --list #查看系统运动的服务

ps -ef | awk '{print}' | sort -n | uniq >1
ls /proc |sort -n |uniq >2
diff 1 2 # s三个命令依次查看隐藏进程

3.文件痕迹排查

#敏感目录
/tmp和 /usr/bin/usr/sbin #两个常作为恶意软件下载的目录
~/.ssh 和 /etc/ssh #常作为一些后门配置的路径

#时间点查找
find -mtime -n #按文件更改时间来查找 -n指n天内
find -atime -n #按文件访问时间来查找
find -ctime -n #按文件创建时间来查找
find / -ctime 0 -name "*.sh" #查找一天内新增的sh文件
ls -alt | head -n 10 #查看排序后前10行的内容

#特殊文件
find /tmp -perm 777 #特殊权限文件查找
find /var/www/ -name "*.php" | xargs egrep #查找/var/www/目录下所有php文件,并且查询是否有关键字
ls -alt /bin #查看命令系统命令修改时间
ls -alh /bin #查看文件大小,若明显偏大则可疑

#后门检测
chkrootkit 工具检测rootkit

列举部分命令

4.日志分析

/var/log/wtmp #记录登录退出、关机重启 即last
/var/log/cron #记录与定时任务相关的日志信息
/var/log/messages #启动后的信息和错误日志
/var/log/apache2/access.log #记录apache的访问日志
/var/log/auth.log #记录系统权限信息
/var/log/userlog #记录等级用户信息的日志
/var/log/faillog #登录系统不成功账户信息

cat /var/log/secure #查看验证授权方面的信息
ls -alt /var/spool/mail #查看邮件相关日志记录文件
cat /var/spool/mail/root #可发现针对80端口的攻击行为

tail -n 10 test.log #查询最后10行的日志
tail -n +10 test.log #查询10行之后的所有日志
head -n 10 test.log #查询头10行的日志

#指定时间段查看日志
sed -n '/2024-6-4 15:14:20/,/2024-6-5 21:20:50/p' test.log
grep '2024-6-4 16:15:22' test.log



#查看登录成功日期、IP地址、用户名
grep "Accepted" /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

#ISS Apache Nginx Tomcat 遇到对应直接搜索

列举部分命令

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。