介绍:
在 Linux 上管理事件响应可能会带来挑战。与其他一些操作系统相比,Linux 可能具有一组更有限的内置取证和事件响应工具
在 Linux 上管理事件时,它涉及使用各种有用的命令。在本文中,我们将探讨 Linux 上事件响应的基本命令。内容来自从各种互联网来源收集的综合信息,所有信息均在文档末尾的参考部分正确引用。
请注意,此列表并非详尽无遗;相反,它作为一个起点指南。
Linux 文件层次结构:
要监视的重要目录:
-
相关视频教程
-
恶意软件开发(更新到了155节)
-
-
用户帐户:
目录:/etc/passwd
要使用的命令:
下面的命令使用 'cat' 进入 /etc/passwd 并将结果导出到users.txt文件。
cat /etc/passwd > users.txt
密码修改
目录:/etc/shadow
使用的命令:
cat /etc/shadow > output.txt
有关组的信息:
目录:/etc/group
使用的命令:
cat /etc/group > output.txt
有关 sudo 权限的信息:
目录: /etc/sudoers
使用的命令:
cat /etc/sudoers > output.txt
过程:
显示所有正在运行的进程的列表:
使用的命令:
ps aux
显示特定用户的进程:
使用的命令:
ps -u username
显示流程树:
使用的命令:
pstree
按名称显示特定进程:
使用的命令:
ps -ef | grep process_name
按 PID(进程 ID)显示特定进程:
使用的命令:
ps -p PID
重要日志位置:
一般日志:
目录:/var/log/messages
使用的命令:
cat /var/log/messages
身份验证日志
目录:/var/log/auth.log
使用的命令:
cat /var/log/auth.log
内核日志
目录:/var/log/kern.log
使用的命令:
cat /var/log/kern.log
cron 作业中的 crond 日志
目录:/var/log/cron.log
使用的命令:
cat /var/log/cron.log
Apache 访问日志目录
目录:/var/log/apache2
使用的命令:
cat /var/log/apache2/access.log
cat /var/log/apache2/error.log
cat /var/log/apache2/other_vhosts_access.log
系统启动日志
目录:/var/log/boot.log
使用的命令:
cat /var/log/boot.log > output.txt
系统日志
目录:/var/log/syslog
使用的命令:
cat /var/log/syslog > sys.txt
套接字统计信息 (ss) 命令:
参考资料和信用:
Linux 事件响应 — 使用 ss 进行网络分析 |无
ss 工具是您在终端中键入的命令,用于查看有关计算机网络的信息。这就像是一个名为 netstat 的旧命令的更快、更简单的版本,它不再被广泛使用。
列出 udp 套接字
ss -u
列出 TCP 套接字
ss -t >
列出侦听插座
ss -l
列出可疑连接
ss -tp state established dport = :[port number in question]
使用 ss 命令筛选套接字结果:
此命令将列出所有活动连接。
ss state established
带有参数的 ss 命令详细信息:
ss [ OPTIONS ]
ss [ OPTIONS ] [ FILTER ]
-h, --help this message
-V, --version output version information
-n, --numeric don't resolve service names
-r, --resolve resolve host names
-a, --all display all sockets
-l, --listening display listening sockets
-o, --options show timer information
-e, --extended show detailed socket information
-m, --memory show socket memory usage
-p, --processes show process using socket
-i, --info show internal TCP information
--tipcinfo show internal tipc socket information
-s, --summary show socket usage summary
--tos show tos and priority information
--cgroup show cgroup information
-b, --bpf show bpf filter socket information
-E, --events continually display sockets as they are destroyed
-Z, --context display process SELinux security contexts
-z, --contexts display process and socket SELinux security contexts
-N, --net switch to the specified network namespace name
-4, --ipv4 display only IP version 4 sockets
-6, --ipv6 display only IP version 6 sockets
-0, --packet display PACKET sockets
-t, --tcp display only TCP sockets
-M, --mptcp display only MPTCP sockets
-S, --sctp display only SCTP sockets
-u, --udp display only UDP sockets
-d, --dccp display only DCCP sockets
-w, --raw display only RAW sockets
-x, --unix display only Unix domain sockets
--tipc display only TIPC sockets
--vsock display only vsock sockets
-f, --family=FAMILY display sockets of type FAMILY
FAMILY := {inet|inet6|link|unix|netlink|vsock|tipc|xdp|help}
-K, --kill forcibly close sockets, display what was closed
-H, --no-header Suppress header line
-O, --oneline socket's data printed on a single line
--inet-sockopt show various inet socket options
-A, --query=QUERY, --socket=QUERY
QUERY := {all|inet|tcp|mptcp|udp|raw|unix|unix_dgram|unix_stream|unix_seqpacket|packet|netlink|vsock_stream|vsock_dgram|tipc}[,QUERY]
-D, --diag=FILE Dump raw information about TCP sockets to FILE
-F, --filter=FILE read filter information from FILE
FILTER := [ state STATE-FILTER ] [ EXPRESSION ]
STATE-FILTER := {all|connected|synchronized|bucket|big|TCP-STATES}
TCP-STATES := {established|syn-sent|syn-recv|fin-wait-{1,2}|time-wait|closed|close-wait|last-ack|listening|closing}
connected := {established|syn-sent|syn-recv|fin-wait-{1,2}|time-wait|close-wait|last-ack|closing}
synchronized := {established|syn-recv|fin-wait-{1,2}|time-wait|close-wait|last-ack|closing}
bucket := {syn-recv|time-wait}
big := {established|syn-sent|fin-wait-{1,2}|closed|close-wait|last-ack|listening|closing}
登录信息:
列出命令历史记录:
使用的命令:
cat ~/.bash_history
上次登录的用户列表:
使用的命令:
last -awx
列出/打印在端点上登录的当前用户:
使用的命令:
logname
服务清单
列出终结点上的所有活动服务:
使用的命令:
service --status-all | grep '+'
列出终结点上的所有服务:
使用的命令:
service --status-all
网络伪影:
在侦听端口上运行的进程:
使用的命令:
lsof –i
检查是否有任何异常的 arp 条目:
使用的命令:
arp –a
使用特定字符串查找过去 2 天内的未知文件,然后将输出解析为文本文件。
使用的命令:
注意:在本例中,我们搜索的是字符串 — update。
find / -mtime -2 -ls | grep 'update' > output.txt
检查 IPtables 和 UFW(简单防火墙)
UFW — 阻止 IP 地址 — 阻止源地址
使用的命令:
ufw deny from 95.156.72.34
UFW — 阻止 IP 地址 — 阻止目标地址。
使用的命令:
ufw deny to 95.156.72.34
IPtables — 列出所有规则。
使用的命令:
iptables --list-rules
IPtables —阻止 IP 表(INPUT 链)上的 IP
使用的命令:
注意:INPUT链负责处理传入到本地系统的数据包。基本上,这是一个将数据包从外部 IP 地址丢弃到内部资源的命令。
iptables -A INPUT -s 95.156.72.34 -j DROP
允许 IP-on-IP 表(INPUT 链)
使用的命令:
注意:INPUT链负责处理传入本地系统的数据包。基本上,这是一个接受从外部 IP 地址到内部资源的数据包的命令。
iptables -A INPUT -s 8.8.8.8 -j ACCEPT
IPtables — 阻止 IP 表上的 IP(INPUT 链)
使用的命令:
注意:OUTPUT链负责处理传出数据包。
iptables -A OUTPUT -s 95.156.72.34 -j DROP
IPtables — 允许 IP-on-IP 表(INPUT 链)
使用的命令:
注意:OUTPUT链负责处理传出数据包
iptables -A OUTPUT -s 8.8.8.8 -j ACCEPT
CRON职位 :
要列出并检查所有 cron 作业,请执行以下操作:
使用的命令:
crontab -l
列出与特定用户名关联的所有 cron 作业
在本例中,我们使用了“root”
使用的命令:
crontab -l -u root
检查整个系统上的 cron 作业:
目录:/etc/crontab
使用的命令:
cat /etc/crontab
显示 Linux 系统上当前挂载的文件系统的快照。
目录 : /proc/mounts
使用的命令:
cat /proc/mounts
显示 SSH 密钥的配置信息:
目录 — /etc/ssh
检查此目录中是否有任何配置更改或已添加新的配置文件。
cat /etc/ssh/sshconfig
cat /etc/ssh/sshconfig.d
引用:
- UFW Essentials:常见防火墙规则和命令 |数字海洋
- Linux 事件响应 — 使用 ss 进行网络分析 |无
- Linux 取证命令备忘单 |Ef 的日志 (fahmifj.github.io)
- 适用于 Linux 的入侵发现备忘单 |SANS 备忘单
- 关于事件响应和入侵检测的Linux备忘单|Yuta的IT信息共享和学习(note.com)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论