首页 技术 正文

安全运维 – Linux系统攻击回溯

技术 2022年11月15日
0 收藏 616 点赞 4,175 浏览 2193 个字

入侵排查思路 (1)- 日志分析

日志分析
默认日志路径: /var/log
查看日志配置情况: more /etc/rsyslog.conf
重要日志:
登录失败记录: /var/log/btmp
最后一次登录: /var/log/lastlog
登录成功记录: /var/log/wtmp
登录日志记录: /var/log/secure
日志分析常用命令:
grep -rn "hello,world!"
cat input_file | tail -n +  | head -n (显示1000-2999行)
find /etc -name init #在目录/etc中查找文件init
sed -i '153,$d' .bash_history  #删除历史操作记录,只保留前153行
grep -C  foo file  #显示file文件里匹配foo那行以及上下5行
定位有多少IP在爆破主机的root账号
grep "Failed password for root" /var/log/secure | awk '{print $11}'| sort | uniq -c | sort -nr | more
爆破用户名字典
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){/for(.*?) from/;print
"$1\n";}'|uniq -c | sort --nr
登录成功IP
grep "Accepted" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
登录成功的日期、用户名、IP:
grep "Accepted" /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
软件安装升级卸载日志:
more /var/log/yum.log

入侵排查思路(2)- 账号安全

用户信息文件: /etc/passwd
影子文件: /etc/shadow
who  #查看当前登录用户(tty本地登录,pts远程登录)
w   #查看系统信息,想知道某一时刻用户的行为

入侵排查:
查询特权用户(uid为0): awk -F: ‘$3==0{print $1}’ /etc/passwd
查询可以远程登录的账号信息: awk ‘/\$1|\$6/{print $1}’ /etc/passwd
禁用或删除多余可疑的账号:
usermod -L user #禁用账号,账号无法登录
userdel -r user #将删除user用户,并且将/home目录下的user目录一并删除

 

入侵排查思路(3)- 历史命令

root的历史命令: history
其他账号的历史命令: /home各账号目录下的 .bash_history
历史操作命令的清除: history -c
入侵排查:
进入用户目录:
cat .bash_history >> history.txt

入侵排查思路(4)- 端口&进程&开机启动项

检查异常端口:
使用netstat网络连接命令,分析可疑端口、IP、PID
netstat -antlp|more检查异常进程:
使用ps命令,分析进程
ps aux | grep pid
使用 netset 和 ps 等命令时,可以灵活配合 grep命令获取信息
netstat -anp | grep -i listen
lsof -i:port #进程和端口对应关系
ps -aux查看进程信息(ps -ef 对于反弹shell,更便于发现)检查开机启动项:
系统默认运行级别: vi /etc/inittab
开机启动配置文件: /etc/rc.local
入侵排查:
启动项文件:
more /etc/rc.local /etc/rc.d/rc[~].d
ls -l /etc/rc.d/rc3.d/定时任务
crontab -l 列出某个用户cron服务的详细内容
crontab -r 删除某个用户 cront任务(删除所有的计划任务)
crontab -e 使用编辑器编辑当前的crontab文件
重点关注以下目录是否存在恶意脚本:
/var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*
more /etc/cron.daily/* #查看目录下所有文件系统服务
服务自启动:
修改 /etc/re.d/rc.local 文件,加入 /etc/init.d/httpd start
查询RPM包安装的服务:
chkconfig --list #查询服务自启动状态,可以看到所有的RPM包安装的服务
ps aux | grep crond #查看当前服务
系统在3和5级别下的启动项
中文环境
chkconfig --list | grep "3:启动\|5:启动"
英文环境
chkconfig --list | grep "3:on\|5:on"
查询源码包安装的服务:
查看服务安装位置,一般在 /user/local/
搜索 /etc/rc.d/init.d/ 查看是否存在检查异常文件
查看敏感目录,如 /tmp目录下的文件,同时注意隐藏文件夹,以“..”为名称的文件夹具有隐藏属性
得到发现WEBSHELL、远控木马的创建时间,找出同一时间创建的文件
find /opt -iname "*" -atime 1 -type f #找出 /opt 下一天前访问过的文件
针对可疑文件可以使用 stat进行创建修改时间
点赞 616

贡献者

上一篇: bzoj4889
下一篇: 56. EditorGridPanel和渲染器renderer的使用
相关推荐
python开发_常用的python模块及安装方法
python开发_常用的python模块及安装方法
adodb:我们领导推荐的数据库连接组件bsddb3:BerkeleyDB的连接组件Cheetah-1.0:我比较喜欢这个版本的cheeta…
技术
日期:2022-11-24 点赞:878 阅读:9,022
Educational Codeforces Round 11 C. Hard Process 二分
Educational Codeforces Round 11 C. Hard Process 二分
C. Hard Process题目连接:http://www.codeforces.com/contest/660/problem/CDes…
技术
日期:2022-11-24 点赞:807 阅读:5,513
下载Ubuntn 17.04 内核源代码
下载Ubuntn 17.04 内核源代码
zengkefu@server1:/usr/src$ uname -aLinux server1 4.10.0-19-generic #21…
技术
日期:2022-11-24 点赞:569 阅读:6,359
可用Active Desktop Calendar V7.86 注册码序列号
可用Active Desktop Calendar V7.86 注册码序列号
可用Active Desktop Calendar V7.86 注册码序列号Name: www.greendown.cn Code: &nb…
技术
日期:2022-11-24 点赞:733 阅读:6,142
Android调用系统相机、自定义相机、处理大图片
Android调用系统相机、自定义相机、处理大图片
Android调用系统相机和自定义相机实例本博文主要是介绍了android上使用相机进行拍照并显示的两种方式,并且由于涉及到要把拍到的照片显…
技术
日期:2022-11-24 点赞:512 阅读:7,773
Struts的使用
Struts的使用
一、Struts2的获取  Struts的官方网站为:http://struts.apache.org/  下载完Struts2的jar包,…
技术
日期:2022-11-24 点赞:671 阅读:4,851
Lomu

贡献者

这家伙很懒,只想把你留下。

文章
44
收藏
0
人气
135,297
粉丝
进主页
文章展示
  • [ 技术 ] python开发_常用的python模块及安装方法
  • [ 技术 ] Educational Codeforces Round 11 C. Hard Process 二分
  • [ 技术 ] 下载Ubuntn 17.04 内核源代码
  • [ 技术 ] 可用Active Desktop Calendar V7.86 注册码序列号
  • [ 技术 ] Android调用系统相机、自定义相机、处理大图片
  • [ 技术 ] Struts的使用
    • 个人收藏笔记记录
    我的笔记
    首页 首页 菜单 首页 首页