就在日常干活的时候要对运维执行的一些高风险的命令进行审计或者拦截,防止他们误操作(删库跑路)或者是一些大表哥进来内网漫游执行的命令审计,
现给各位表哥分享一下日常在linux系统下面的高风险名的正则,这个玩意可以上在堡垒机或者在bash审计上面。当然如果把这些命令写在脚本里面执行还是可以绕过的,这个可以通过audit去检测,这个有时间再整理整理分享给大伙。欢迎各位表哥一起添加补充。
设置操作命令不记录进日志 export\s*HISTFILE=\/dev\/null
vipw修改shadow文件 ^(vipw|\/usr\/sbin\/vipw)\s+-+s
清除替换记录web错误日志 (ca|ech)[t|o]*(.*)\w+\s*(?=\>)>(?<=>)\s*[\w/]+error_log\b
使用ettercap嗅探 ettercap\s+\-\w\s+\-\w\s+arp
利用变量绕过执行系统命令 ^\w+=\$['|"]\\x20.+['|"]\&\&.+\$\w+
使用wget安装后门的连贯操作 wget\s*http.*-O.*;.*chmod\s*777\s*(.*)\s*;\s*
切换shell ^\s*\/bin\/(|z|da|tc|c|k)sh$
ssh软连接后门安装 ^ln\s*-sf\s*\/usr\/sbin\/sshd\s*\/\w+\/\w+\s*;\s*\/\w+\/\w+\s*-oport\s*=\s*[0-9]*
ssh软连接后门准备工作,复制pam.d下的文件 ^cp\s*\/etc\/pam.d/\w+\s+\/\w+(.*)
查看或修改mysql历史记录 (cat|vim|vi)\s*(.)*\.mysql_history
设置操作命令不记录进日志 export\s*HISTSIZE=0
利用{}绕过,查看或修改历史文件 \{(vi|vim|cat),(\/.+\/)*\.bash_history\}
清除替换记录错误的登录信息 (ca|ech)[t|o]*(.*)\w+\s*(?=\>)>(?<=>)\s*[\w/]+btmp\b
使用logtamper修改linux日志 logtamper-static\s(.*)
利用{}绕过,不记录历史 \{\s*unset\s*,\s*HIST[A-Z]+\s*\}
查看etc目录下shadow文件 ^\s*<\/etc\/shadow\s+grep\s+([a-z]|[A-Z]|[0-9]|\:|\/)+$
vipw修改密码文件 ^(vipw|\/usr\/sbin\/vipw)\s+-p
vigr修改密码文件 ^(vigr|\/usr\/sbin\/vigr)\s+-p
利用{}绕过,执行rssocks \{\s*rssocks\s*,\s*\-vv\s*\}
利用{}绕过,设置操作命令不记录进日志 ^\{export,HISTFILE\s*=\s*\/dev\/null\}
清除替换登录认证日志 (ca|ech)[t|o]*(.*)\w+\s*(?=\>)>(?<=>)\s*[\w/]+auth.log\b
nmap端口扫描 ^\s*nmap\s(.*)
使用curl安装后门的连贯操作 curl\s*http.*>.*;.*chmod\s*777\s*(.*)\s*;\s*
使用ssocks建立socks反向代理 rssocks\s*-vv
使用arpspoof进行arp欺骗 arpspoof\s*
清除替换系统安全日志 (ca|ech)[t|o]*(.*)\w+\s*(?=\>)>(?<=>)\s*[\w/]+secure\b
查看系统数据库passwd相关记录 getent\s*password\s*\S*
nc规则 ^nc(\s+-\w+)+
vipw修改组文件 ^(vipw|\/usr\/sbin\/vipw)\s+-g
查看内核版本 ls\s+\/boot(\/)*\s*$
利用$IFS绕过查看或修改mysql历史记录 (vim|cat|vi)\$IFS.+\.mysql_history
查看etc目录下的passwd文件 ^\s*<\/etc\/passwd\s+grep\s+([a-z]|[A-Z]|[0-9]|\:|\/)+$
使用arpsniffer进行arp欺骗 arpsniffer\s(.*)
vigr修改shadow文件 ^(vigr|\/usr\/sbin\/vigr)\s+-s
使用代理软件lcx lcx(\.exe)*\s\-(slave|listen)
设置操作命令不记录进日志 export\$IFSHISTFILE\s*=\s*\/dev\/null
查看或修改host key (cat|vim|vi)\s*(.)*known_hosts
rcsocks命令执行socks反向代理 rcsocks\s+-\w
使用http代理转发 python\s+reGeorgSocksProxy\.py
查看/etc/shadow ^\s*<\/etc\/shadow\s+grep\s+([a-z]|[A-Z]|[0-9]|\:|\/)+$
使用python执行切换shell pty\.spawn\(('|")\/bin\/(bash|sh)('|")\)
清除替换记录日志 (ca|ech)[t|o]*(.*)\w+\s*(?=\>)>(?<=>)\s*[\w/]+wtmp\b
替换ssh密钥 ^echo\s+['|"]ssh-rsa\s+((.|\n)*)['|"]\s*>>\.ssh\/authorized_keys
利用{}绕过,设置操作命令不记录进日志 \{\s*export\s*,\s*HISTSIZE=0\s*\}
清除替换messages日志系统 (ca|ech)[t|o]*(.*)\w+\s*(?=\>)>(?<=>)\s*[\w/]+messages\b
利用{}绕过,rssocks执行socks反向代理 \{rssocks,-vv\}
portmap端口转发 portmap\s+\-m
创建任意密码登录后门 ln\s+-\w+\s+(\/\w+)+\/sshd\s+(\/\w+)+\/su;(\/\w+)\/su\s+-\w+=\d+
清除替换utmp日志 (ca|ech)[t|o]*(.*)\w+\s*(?=\>)>(?<=>)\s*[\w/]+utmp\b
使用bash反弹shell bash\s+-i\s*>&\s+\/dev\/tcp\/\d+\.\d+\.\d+\.\d+\/\d+
使用netcat工具 netcat\s(.*)
rssocks创建socks反向代理 ^rssocks<>-vv
wipe删除文件或目录 wipe\s(.*)
清除历史记录 history\s*-c\s*
查看/etc/passwd用户数 wc\s+-l\s+\<\s+\/etc\/passwd
设置操作命令不记录进日志 set\s*\+o\s*history
清除替换web日志 (ca|ech)[t|o]*(.*)\w+\s*(?=\>)>(?<=>)\s*[\w/]+access_log\b
使用ettercap进行arp欺骗 ^ettercap\s*
反弹shell exec\s*\d*<>\s*/dev/tcp/(.*)/(.*)
使用arp-dsniff进行arp欺骗 dsniff\s*
替换ssh密钥 ^echo\s+['|"]ssh-rsa\s+((.|\n)*)['|"]\s*>>\.ssh\/authorized_keys
ncat测试端口连通性 ncat\s+\d+\.\d+\.\d+\.\d+\s+\d+
清理bash历史记录日志 cat\s*\/dev\/null\s*\>\s*([~\/a-zA-Z0-9\.])+\.bash_history
利用$IFS绕过,执行rssocks rssocks\$IFS-vv
设置ssh任意密码登录后门 ln\s*\-sf\s*/usr/sbin/sshd\s(.*)
切换shell ^ +\.\/(|z|da|tc|c|k)sh$
清除替换用户登录信息 (ca|ech)[t|o]*(.*)\w+\s*(?=\>)>(?<=>)\s*[\w/]+lastlog\b
修改权限,利用$IFS绕过 chmod(\$IFS([0-9a-zA-Z\.\'])+)+
清除系统中wtmp 记录 wtmpclean\s(.*)
vigr修改组文件 ^(vigr|\/usr\/sbin\/vigr)\s+-g
MySQL明文密码登录 命中示例:mysql -P3306 -uroot -p123456
从github下载或提交代码 ^git((?!clone|commit).)*github.*
MongoDB明文密码登录 命中示例:mongo 127.0.0.1:27017/admin -u superuser -p pwd
利用{}绕过执行netcat \{\s*netcat\s*,\s*.+\}
查看或修改历史记录 (cat|vim|vi|nano)\s+.*\.\w+_history
利用{},查看或修改mysql历史记录 \{\s*(vim|vi|cat)\s*,\s*.+\.mysql_histroy\}
设置操作命令不记录进日志 unset(\s*HIST[A-Z]+)+
增加uid为0的系统账号 useradd\s*-o\s*-u\s*0\s*
使用hydra进行爆破 hydra\s(.*)
设置操作命令不记录进日志 HISTSIZE\s*=\s*10
设置操作命令不记录进日志 ^history\s*-c
设置操作命令不记录进日志 HISTSIZE\s*=\s*[0-9]
ssh软连接后门准备工作 ^cp\s*\/etc\/pam.d/\w+\s+\/\w+(.*) |
评论