应急响应之Linux排查

admin 2022年6月1日09:44:05应急响应评论11 views2320字阅读7分44秒阅读模式

微信公众号:[小白渗透成长之路]
弱小和无知不是生存的障碍,傲慢才是!
[如果你觉得文章对你有帮助,欢迎点赞]

内容目录

Linux排查0X01 入侵排查1.1 查看linux账号信息1.2 入侵排查1.3 历史命令1.4 检查异常端口1.5 查看异常进程1.6 查看开机启动项1.7 检查定时任务1.8 重点关注目录          1.9 检查异常文件          1.9.1 linux日志位置合集0X02 工具篇

Linux排查

0X01 入侵排查

1.1 查看linux账号信息

A、查看用户信息文件 /etc/passwd

root:x:0:0:root:/root:/bin/bashaccount:password:UID:GID:GECOS:directory:shell

应急响应之Linux排查

用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell
注意:无密码只允许本机登陆,远程不允许登陆。

B、查看影子文件
/etc/shadow 文件,用于存储 Linux 系统中用户的密码信息,又称为“影子文件”。
/etc/shadow 文件只有 root 用户拥有读权限。
注意,如果这个文件的权限发生了改变,则需要注意是否是恶意攻击。

应急响应之Linux排查

root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::

用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留

1.2 入侵排查

A、查询特权用户(UID为0)

[root]# awk -F: '$3==0{print $1}' /etc/passwd

应急响应之Linux排查

B、查询可远程登录的账号

[root]# awk '/$1|$6/{print $1}' /etc/shadow

应急响应之Linux排查

C、查询除root之外,是非存在其他sudo权限的账号。

[root]# more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)"

应急响应之Linux排查

D、禁用或删除多余及可疑的账号

usermod -L user  锁定用户密码,使密码无效。userdel user    删除user用户userdel -r user  将删除user用户,并且将/home目录下的user目录一并删除
1.3 历史命令

A、root的历史命令
history     #查看所有历史命令

应急响应之Linux排查

history n    #查看最近多少条命令

应急响应之Linux排查

B、删除所有历史命令
history -c
C、
history -d 212     #清除212行的命令数据

1.4 检查异常端口

A、使用netstat 网络连接命令,分析可疑端口、IP、PID
netstat -antlp|more

应急响应之Linux排查

B、查看PID对应的进程文件路径
ls -l /proc/$PID/exe
file /proc/$PID/exe

应急响应之Linux排查

1.5 查看异常进程

A、查找指定进程格式
ps aux | grep pid

应急响应之Linux排查

B、显示进程信息
ps -A

应急响应之Linux排查

1.6 查看开机启动项

A、/etc/profile.d/*.sh是bash的全局配置文件,/etc/profile.d/下有许多shell脚本,可以在开机时启动。

应急响应之Linux排查

B、/etc/rc.d/rcX.d目录
目录内有每个服务在init.d内启动脚本的链接文件,根据链接文件的名字来判断启动状态K开头表示不启动服务,S打头表示启动服务。

应急响应之Linux排查

应急响应之Linux排查

应急响应之Linux排查

C、/etc/init.d目录内放的是各个服务的启动脚本,例如sshd、httpd等

应急响应之Linux排查

1.7 检查定时任务

A、列出所有的定时任务
crontab -l

应急响应之Linux排查

B、删除用户的定时任务
crontab -r
当执行此命令后,所有用户下面的定时任务会被删除,执行crontab -l后会提示用户:“no crontab for admin”

1.8 重点关注目录
/var/spool/cron/
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/
/etc/cron.hourly/
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*

例如:more /etc/cron.daily/*  查看目录下所有文件

1.9 检查异常文件

1、查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以“..”为名的文件夹具有隐藏属性

2、得到发现WEBSHELL、远控木马的创建时间,如何找出同一时间范围内创建的文件?
可以使用find命令来查找,例如要查找24小时内被修改的jsp文件:find ./ -mtime 0 -name "*.jsp"

3、针对可疑文件可以使用stat进行创建修改时间。

1.9.1 linux日志位置合集

日志默认存放位置:/var/log/
查看日志配置情况:more /etc/rsyslog.conf

应急响应之Linux排查

0X02 工具篇

A、GScan
本程序旨在为安全应急响应人员对Linux主机排查时提供便利,实现主机侧Checklist的自动全面化检测,根据检测结果自动数据聚合,进行黑客攻击路径溯源。

项目地址:https://github.com/grayddq/GScan

应急响应之Linux排查

应急响应之Linux排查

B、Linux病毒扫描工具-ClamAV

官网地址:http://www.clamav.net/download.html
安装使用教程:https://blog.csdn.net/carefree2005/article/details/122705554

应急响应之Linux排查

工具只是帮助我们,更重要还是要理解原理和思路方式。应急响应之Linux排查

原文始发于微信公众号(小白渗透成长之路):应急响应之Linux排查

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月1日09:44:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  应急响应之Linux排查 http://cn-sec.com/archives/1074674.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: