记一次攻防演练实战的简单总结-Linux篇

记一次攻防演练实战的简单总结-Linux篇

0x00 写在前面

本次攻防演练，场景路线是：分析研判--上机排查--0day分析--编写报告。进入态势告警平台，从几百上千条告警流量中迅速分析出哪一条为成功告警信息，排查找出后向裁判申请上机，在15分钟内找出木马，分析攻击人员怎么进来的，做了什么等等，并在规定时间内写出高质量报告，模拟客户询问沟通。这次演练锻炼了临危不惧，冷静分析，灵活应变，有效沟通等能力。

经过实战演练和一天多的线上学习、搭建简单环境复现，此次简单总结一下linux系统的应急响应排查思路和命令。

0x01Linux应急响应命令汇总

系统信息
cat /proc/version #熟悉主机环境
who #查看当前用户
cat /etc/passwd 查看用户信息
/etc/shadow 影子文件
awk -F: '$3==0{print $1}' /etc/passwd #查看超级用户
awk '/\$1|\$6/{print $1}' /etc/shadow #远程登陆
more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"#查看拥有sudo权限账号

进程
ps -ef #查看进程
ps aux #显示当前运行进程
top -c #查看最大进程
pstree #树形结构查看进程关系
ps -p [pid] -o lstart#查看进程开放的时间
sudo ps -efcaux #查看进程
lsof -p [pid] #查看进程PID打开的文件
lsof -p 765 #查看pid为765进程路径等详细信息
kill -9 1413 #杀掉pid为1413的进程

端口网络
netstat -antpl #开放端口
netstat -anp|grep 7777 #指定端口
lsof -i #正在进行的网络连接

开启服务
service --status-all #主机所有服务
systemctl list-unit-files #查看开启服务
sudo systemctl stop xxxxx #停止xxxxxx服务

历史日志
history #历史
last #查看登录成功日志
/var/log/lastlog#记录登录的用户
/var/log/userlog#用户登录日志
cd nginx #中间件日志
tail access.log

启动项
chkconfig --list#启动项排查

计划任务
crontab -l #计划任务
crontab -e #用编辑器编辑当前的crontab文件

环境变量配置文件
/etc/profile
/etc/bashrc
/etc/bash.bashrc
~/.bashrc
~/.profile
~/.bash_profile

重点目录
/var/spool/cron/*
/etc/crontab
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*

0x02 简单过程记录

由于攻防场景需要连接内网，当时时间紧没有每个详细截图，只是截图了关键查到部分，当时是态势告警连接7777端口，netstat -anp|grep 7777直接锁定端口就出来了，如然后rm -rf xxx 删除，现在搭个linux环境简单复现部分过程。

1.系统信息

2.进程

3.端口网络

4.开启服务情况

0x03 工具

1.河马webshell查杀：https://www.shellpub.com/

2.Rootkit查杀：http://www.chkrootkit.org

3.ClamAV病毒查杀：http://www.clamav.net/download.html

注：本文章内容主要记录分享日常学习，禁止非法他用，与平台和本文作者无关，后果自负；另外文章内容若有不足之处，欢迎各位师傅批评指正！