安全事件应急响应排查指南

应急响应事件分类

web入侵：

网页挂马、主页篡改、Webshell

系统入侵：病毒木马、勒索软件、远控后门

挂黑 ---  0day 怎么处理

被植入webshell怎么办

1.1 查看历史命令

查看历史命令，基本了解命令执行情况，就可以仔细分析并判断攻击者的行为，使用语法：

history

cat ~/.bash_history

1.2 查看资源占用情况

通过查看内存、CPU使用情况，定位出不正常的程序，使用语法：

top

/*

按1后，再输入shitf+p  以cpu占用排序

按shift+m 以内存占用排序

*/

另外我们也可以使用free来查看，使用语法：

free

为了更直观，我们使用df来进行查看，使用语法：

df -h

然后进到跟目录使用du查看具体占用空间的目录，使用语法：

du -h --max-depth=1 //后面的如果二级目录不多的情况可以把1改为2.

1.3 查看账户信息

通过查看passwd，是否有新增的非法账户（甚至是特权账户），使用语法：

cat /etc/passwd | awk -F ":" '{print $1,$3,$4,$7}' | grep '/.*sh'

root 0 0 /bin/bash

postgres 116 119 /bin/bash

arpwatch 119 122 /bin/sh

couchdb 124 129 /bin/bash

查看账户登录情况，使用语法：

lastlog

用户名       端口     来自             最后登陆时间

root         pts/1    192.168.25.1     一 2月 11 13:40:01 +0800 2019

daemon                                     **从未登录过**

bin                                        **从未登录过**

查看是否存在空口令账户（这项似乎对远程登陆无效，测试了空口令是无法登陆的），使用语法：

awk -F ":" 'length($2)==0 {print $1}' /etc/shadow

1.4 查看当前系统用户的会话

使用w（或者使用 who）查看当前系统的会话，主要是查看当前有哪些用户登录到服务器上,使用语法：

w

 16:31:38 up 42 min,  3 users,  load average: 0.00, 0.05, 0.08

USER   TTY    FROM         LOGIN@   IDLE   JCPU   PCPU WHAT

roo    :0     :0  15:49   ?xdm?  47.71s  0.22s /usr/libexec/gnome-ses

roo    pts/0  :0   15:50    2.00s  0.31s  3.62s /usr/libexec/gnome-ter

root    pts/1   192.168.25.1     16:21   10:28   0.04s  0.04s -bash

1.5 查看进程和端口

netstat查看目前的网络连接，定位可疑的 ESTABLISHED以及开放的端口，使用语法：

netstat -antloup| egrep 'LIS|EST'  //简化版的可以使用：netstat -ntup

另外还可以使用watch实时监控外部网络实时连接情况，使用命令：

watch netstat -ntup

使用ls查看对应的进程文件路径，使用语法：

ls -l /proc/PID/exe

查看端口连接情况，使用语法：

lsof -i:port  //以数字显示端口情况使用：lsof -PnR -i:port

样例：

lsof -i:22

查看对应的可执行文件，使用语法：

lsof -p PID查看该PID对应的执行文件

样例：

lsof -p 9698

使用ps查看对应的文件路径，使用语法：

ps -ef | grep COMMAND

1.6 查看hosts文件

hosts文件是系统配置文件，用于本地DNS查询的域名设置，可以强制将某个域名对应到某个IP上，因此需要检查hosts文件有没有被黑客恶意篡改。使用语法：

cat /etc/hosts

1.7 查看计划任务

使用crontab来检查计算机与网络上的其它计算机之间的会话或计划任务，如有，则确认是否为正常连接。使用语法

crontab -l

也可以直接查看文件，使用语法：

more /etc/crontab

more /etc/cron.daily

more /etc/cron.*

1.8 查看最近登录情况

查看最近登录情况，使用语法：

lastb

test     ssh:notty    192.168.25.1     Wed Feb 13 14:43 - 14:43  (00:00)

test     ssh:notty    192.168.25.1     Wed Feb 13 14:43 - 14:43  (00:00)

root     ssh:notty    192.168.25.1     Mon Feb 11 13:33 - 13:33  (00:00)

root     ssh:notty    192.168.25.1     Mon Feb 11 13:33 - 13:33  (00:00)

root     ssh:notty    192.168.25.1     Mon Feb 11 13:16 - 13:16  (00:00)

root     ssh:notty    192.168.25.1     Mon Feb 11 13:16 - 13:16  (00:00)

root     ssh:notty    192.168.25.1     Mon Feb 11 13:11 - 13:11  (00:00)

root     ssh:notty    192.168.25.1     Mon Feb 11 13:11 - 13:11  (00:00)

root     ssh:notty    192.168.25.1     Mon Feb 11 13:06 - 13:06  (00:00)

root     ssh:notty    192.168.25.1     Mon Feb 11 13:06 - 13:06  (00:00)

通过该命令可以查看最近登录的用户，虽然看不出来是否登录成功，但是也可以查看很多信息，如：登录的用户、IP地址、时间等，若其中有很多非系统中的用户登录记录或者一个正常用户短时间内连续多次登录，可以简单认为是在暴力破解。

查看最近成功登录情况，使用语法：

last

root    pts/1        192.168.25.1     Mon Feb 11 13:40 - 13:40  (00:00)

root    pts/1        192.168.25.1     Mon Feb 11 13:36 - 13:38  (00:02)

root    pts/1        192.168.25.129   Mon Feb 11 13:18 - 13:21  (00:03)

root    pts/2       192.168.25.1     Mon Feb 11 11:09 - 11:35 (1+00:26)

通过该命令可查看哪些用户在哪些时间段登录上服务器，IP地址是多少，结合上面的lastb可进行综合分析。

1.9 查看环境变量和启动项

使用env查看是否有异常的环境变量，使用语法：

env  //或者使用echo $PATH分析是否有可疑的系统路径信息

另外还需查看是否有异常的启动项，使用语法：

ls -l /etc/rc.d/rc[0-6].d/ |grep init.d | sort | uniq -c  //CentOS

ls -l /etc/rc[0-6].d/ |grep init.d | sort | uniq -c  //Ubuntu

more /etc/rc.local

1.10 查看最近修改的文件

查找最近修改的文件，主要是查看服务器支持的开发脚本文件，使用语法：

find / -mtime 0 -name "*.jsp" //0表示24小时内，1表示前48~24小时修改过的文件

查找最近60分钟修该过的文件，使用语法：

find / -mmin -60 -name "*.jsp"

1.11 查看日志

不同的Linux，日志存放路径可能存在一定的误差，主机层面的日志路径基本都是/var/log，登陆安全日志主要是secure或者auth.log，web层面的日志主要是access日志和error日志，我们可以使用locate以及find去查询具体的日志路径，使用语法：

locate -r '/access[._]log'

find / -regex '.*/access[._]log'

grep (global search regular expression(RE) and print out the line，全面搜索正则表达式并把行打印出来)是一种强大的文本搜索工具，它能使用正则表达式搜索文本，并把匹配的行打印出来。使用语法:

grep [option] pattern file

-E：解释PATTERN作为扩展正则表达式，也就相当于使用egrep。或操作

-o: 只输出匹配的具体字符串,匹配行中其他内容不会输出

统计访问日志中IP的访问频率并排序输出，使用语法：

cat /var/log/apache2/access.log | awk '{print $1}' | uniq -c | sort -nr

通过使用常见攻击特征进行分析日志，使用语法：

egrep '(select|script|acunetix|sqlmap|whoami|jsky|Netsparker|AppScan)' /var/log/httpd/access_log

grep -E '(select|script|acunetix|sqlmap|whoami|jsky|Netsparker|AppScan)' /var/log/apache2/access.log

如果木马做了免杀处理，可以查看是否使用加密函数

find / -type f -name "*.php"|xargs grep "base64_decode"

是否做了拼接处理

find / -type f -name "*.php"|xargs grep "@$"

查看安全日志secure（或者  /var/log/auth.log，视具体服务器），查看登录失败的情况，使用语法：

grep "Failed password" /var/log/secure

Feb 13 15:55:51 localhost sshd[9776]: Failed password for invalid user test from 192.168.25.1 port 2149 ssh2

grep -o "Failed password" /var/log/secure | uniq -c

      1 Failed password

定位暴力破解IP地址，使用语法：

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|sort|uniq -c | sort -nr

统计登录成功的IP有哪些，是否有异常IP，使用语法：

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr