『杂项』一篇 Linux 应急响应的详细笔记

admin 2023年1月9日21:01:41应急响应评论12 views2237字阅读7分27秒阅读模式
『杂项』一篇 Linux 应急响应的详细笔记

点击蓝字,关注我们



日期:2023-01-09
作者:pbfochk
介绍:Linux系统的应急响应笔记。

0x00 前言

最近发现Linux出现问题的频率越来越大,相比于前些年来说,Windows服务器出现的问题已经很少见了,一个原因是现在大多数企业意识到Linux相对于Windows来说更加安全、更加流畅,另一方面随着Linux服务器的增加导致了安全配置较低的Linux服务器出现问题的概率越来越大。

0x01 Linux 系统安全排查

1.1 查询特权账号

查询系统中所有的特权账户( uid 为 0 ),下图中便查到一个可疑的sqli特权账户。

cat /etc/passwd | awk -F: '$3==0{print $1}'

查询系统中可以远程登录的账号:

awk '/$1|$6/{print $1}' /etc/shadow
『杂项』一篇 Linux 应急响应的详细笔记

查询系统中所有账户:

cat /etc/passwd | awk -F: '{print $1}'

『杂项』一篇 Linux 应急响应的详细笔记

1.2 查Linux历史命令

1.查询历史命令:

history

『杂项』一篇 Linux 应急响应的详细笔记

2.添加历史命令审计

(1)在/etc/profile的文件尾部添加如下行数配置信息:

USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`if [ "$USER_IP" = "" ]thenUSER_IP=`hostname`fiexport HISTTIMEFORMAT="%F %T $USER_IP `whoami` "shopt -s histappendexport PROMPT_COMMAND="history -a"

(2)生效配置:

source /etc/profile

(3)设置保存一万条历史命令:

sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile

(4)审计效果如下:

『杂项』一篇 Linux 应急响应的详细笔记

(5)导出历史记录:

history >history_1.txt
『杂项』一篇 Linux 应急响应的详细笔记

1.3 排查可疑端口与服务进程

1.查看端口开放状态,检查系统是否存在代理、SSH软连接后门等可疑端口。

netstat -anulpt
『杂项』一篇 Linux 应急响应的详细笔记

2.监控指定ip的通信进程。

while true; do netstat -antp | grep 10.10.10.1; done

『杂项』一篇 Linux 应急响应的详细笔记

此处发现异常的C2通信。

3.清除可疑进程与文件。

(1)清除进程:

ps -aux
ps -elf | grep 66579
kill -9 66579

『杂项』一篇 Linux 应急响应的详细笔记

(2)清除文件:

ps -aux
ls -al /proc/67730/exe
rm -f /home/c2test
『杂项』一篇 Linux 应急响应的详细笔记

4.排查可疑服务。

service --status-all

『杂项』一篇 Linux 应急响应的详细笔记

5.检查CPU占用率:

top

『杂项』一篇 Linux 应急响应的详细笔记

1.4 排查恶意模块

列出所有已载入系统的模块:

lsmod

『杂项』一篇 Linux 应急响应的详细笔记

1.5 Webshell查杀

河马Webshell查杀:https://www.shellpub.com

1.下载安装:

wget -O /opt/hm-linux.tgz http://dl.shellpub.com/hm/latest/hm-linux-amd64.tgz?version=1.7.0
cd /opttar xvf hm-linux.tgz
./hm -h
『杂项』一篇 Linux 应急响应的详细笔记

2.扫描你的web目录:

./hm scan /home           ---扫描完成之后结果会保存为result.csv文件,使用记事本或者excel打开查看
./hm deepscan /home ---扫描时开启深度解码

『杂项』一篇 Linux 应急响应的详细笔记

此处发现一个冰蝎马。

1.6 检查定时任务

1.列出用户自启动任务( /var/spool/cron )。

crontab -l

2.编辑定时任务。

crontab -e

3.删除所有定时任务。

crontab -r

1.7 系统日志检查

1.系统定时任务相关的日志。

/var/log/cron

2.记录了邮件信息。

/var/log/mailog

3.记录Linux系统的绝大多数重要信息。

/var/log/message

4.错误登录日志,使用lastb命令查看。

/var/log/btmp

5.系统中所有用户最后一次登录的日志,使用lastlog命令查看。

/var/log/lastlog

6.永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件,使用last命令查看。

/var/log/wtmp

7.记录当前登录的用户信息,使用w/who/users等命令查看。

/var/log/utmp

8.涉及账号和密码的程序都会记录,例如SSHsu切换用户、sudo授权、添加用户和修改用户密码。

/var/log/secure

0x02 总结

Linux系统的应急响应相对多数人来说没有Windows那么熟悉,相关操作流程与进程检测方法更是少了很多;近些年越来越多的Linux服务器开始出现问题,且占比越来越大,整理一些平常经常用到的应急方法才能在碰到问题时不会一头雾水。


免责声明:本文仅供安全研究与讨论之用,严禁用于非法用途,违者后果自负。


点此亲启

ABOUT US

宸极实验室隶属山东九州信泰信息科技股份有限公司,致力于网络安全对抗技术研究,是山东省发改委认定的“网络安全对抗关键技术山东省工程实验室”。团队成员专注于 Web 安全、移动安全、红蓝对抗等领域,善于利用黑客视角发现和解决网络安全问题。

团队自成立以来,圆满完成了多次国家级、省部级重要网络安全保障和攻防演习活动,并积极参加各类网络安全竞赛,屡获殊荣。

对信息安全感兴趣的小伙伴欢迎加入宸极实验室,关注公众号,回复『招聘』,获取联系方式。

『杂项』一篇 Linux 应急响应的详细笔记


原文始发于微信公众号(宸极实验室):『杂项』一篇 Linux 应急响应的详细笔记

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月9日21:01:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  『杂项』一篇 Linux 应急响应的详细笔记 https://cn-sec.com/archives/1508339.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: