『杂项』一篇 Linux 应急响应的详细笔记

日期：2023-01-09

作者：pbfochk

介绍：Linux系统的应急响应笔记。

0x00 前言

最近发现Linux出现问题的频率越来越大，相比于前些年来说，Windows服务器出现的问题已经很少见了，一个原因是现在大多数企业意识到Linux相对于Windows来说更加安全、更加流畅，另一方面随着Linux服务器的增加导致了安全配置较低的Linux服务器出现问题的概率越来越大。

0x01 Linux 系统安全排查

1.1 查询特权账号

查询系统中所有的特权账户（ uid 为 0 ），下图中便查到一个可疑的sqli特权账户。

cat /etc/passwd | awk -F: '$3==0{print $1}'

查询系统中可以远程登录的账号：

awk '/$1|$6/{print $1}' /etc/shadow

查询系统中所有账户：

cat /etc/passwd | awk -F: '{print $1}'

1.2 查Linux历史命令

1.查询历史命令：

history

2.添加历史命令审计

（1）在/etc/profile的文件尾部添加如下行数配置信息：

USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`if [ "$USER_IP" = "" ]thenUSER_IP=`hostname`fiexport HISTTIMEFORMAT="%F %T $USER_IP `whoami` "shopt -s histappendexport PROMPT_COMMAND="history -a"

（2）生效配置：

source /etc/profile

（3）设置保存一万条历史命令：

sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile

（4）审计效果如下：

（5）导出历史记录：

history >history_1.txt

1.3 排查可疑端口与服务进程

1.查看端口开放状态，检查系统是否存在代理、SSH软连接后门等可疑端口。

netstat -anulpt

2.监控指定ip的通信进程。

while true; do netstat -antp | grep 10.10.10.1; done

此处发现异常的C2通信。

3.清除可疑进程与文件。

（1）清除进程：

ps -aux
ps -elf | grep 66579   
kill -9 66579

（2）清除文件：

ps -aux
ls -al /proc/67730/exe
rm -f /home/c2test

4.排查可疑服务。

service --status-all

5.检查CPU占用率：

top

1.4 排查恶意模块

列出所有已载入系统的模块：

lsmod

1.5 Webshell查杀

河马Webshell查杀：https://www.shellpub.com

1.下载安装：

wget -O /opt/hm-linux.tgz http://dl.shellpub.com/hm/latest/hm-linux-amd64.tgz?version=1.7.0
cd /opttar xvf hm-linux.tgz
./hm -h

2.扫描你的web目录：

./hm scan /home           ---扫描完成之后结果会保存为result.csv文件，使用记事本或者excel打开查看
./hm deepscan /home       ---扫描时开启深度解码

此处发现一个冰蝎马。

1.6 检查定时任务

1.列出用户自启动任务（ /var/spool/cron ）。

crontab -l

2.编辑定时任务。

crontab -e

3.删除所有定时任务。

crontab -r

1.7 系统日志检查

1.系统定时任务相关的日志。

/var/log/cron

2.记录了邮件信息。

/var/log/mailog

3.记录Linux系统的绝大多数重要信息。

/var/log/message

4.错误登录日志，使用lastb命令查看。

/var/log/btmp

5.系统中所有用户最后一次登录的日志，使用lastlog命令查看。

/var/log/lastlog

6.永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件，使用last命令查看。

/var/log/wtmp

7.记录当前登录的用户信息，使用w/who/users等命令查看。

/var/log/utmp

8.涉及账号和密码的程序都会记录，例如SSH、su切换用户、sudo授权、添加用户和修改用户密码。

/var/log/secure

0x02 总结

Linux系统的应急响应相对多数人来说没有Windows那么熟悉，相关操作流程与进程检测方法更是少了很多；近些年越来越多的Linux服务器开始出现问题，且占比越来越大，整理一些平常经常用到的应急方法才能在碰到问题时不会一头雾水。