Linux入侵排查

admin
admin
admin
102391
文章
87
评论
2023年11月21日15:29:49评论34 views字数 2821阅读9分24秒阅读模式



声明

该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

 滑至文末,获取“searchall”下载链接!

1.入侵排查思路


账号安全

基本使用

1、用户信息文件 /etc/passwdroot:x:0:0:root:/root:/bin/bashaccount:password:UID:GID:GECOS:directory:shell用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后的 shell注意:无密码只允许本机登陆,远程不允许登陆
2、影子文件 /etc/shadowroot:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留


who     查看当前登录用户(tty 本地登陆  pts 远程登录)w       查看系统信息,想知道某一时刻用户的行为uptime  查看登陆多久、多少用户,负载状态

入侵排查

1、查询特权用户特权用户(uid 为0)[root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd2、查询可以远程登录的帐号信息[root@localhost ~]# awk '/$1|$6/{print $1}' /etc/shadow3、除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限[root@localhost ~]# more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)"4、禁用或删除多余及可疑的帐号    usermod -L user    禁用帐号,帐号无法登录,/etc/shadow 第二栏为 ! 开头  userdel user       删除 user 用户  userdel -r user    将删除 user 用户,并且将 /home 目录下的 user 目录一并删除


2.历史命令


基本使用

通过.bash_history文件查看系统执行过的命令

1、root 用户的历史命令histroy2、打开 /home 各帐号目录下的 .bash_history,查看普通帐号执行的历史命令。为历史的命令增加登录的 IP 地址、执行命令时间等信息:1)保存1万条命令sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile2)在/etc/profile的文件尾部添加如下行数配置信息:######jiagu history xianshi#########USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`if [ "$USER_IP" = "" ]thenUSER_IP=`hostname`fiexport HISTTIMEFORMAT="%F %T $USER_IP `whoami` "shopt -s histappendexport PROMPT_COMMAND="history -a"######### jiagu history xianshi ##########3)source /etc/profile 让配置生效生成效果:1  2018-07-10 19:45:39 192.168.204.1 root source /etc/profile3、历史操作命令的清除:history -c但此命令并不会清除保存在文件中的记录,因此需要手动删除 .bash_profile 文件中的记录。

入侵排查

进入用户目录下,导出历史命令。cat .bash_history >> history.txt


3.检查异常端口


使用netstat命令,分析可以端口,ip,PID

netstat -antlp | more
查看下 pid 所对应的进程文件路径,运行 ls -l /proc/$PID/exe 或 file /proc/$PID/exe($PID 为对应的 pid 号)


4.检查异常进程

使用PS命令,进行检查

ps aux | grep pid

5.检查开机启动项

启动项文件

more /etc/rc.local/etc/rc.d/rc[0~6].dls -l /etc/rc.d/rc3.d/

6.检查定时任务

查看命令

crontab -l   列出某个用户cron服务的详细内容
Tips:默认编写的crontab文件会保存在 (/var/spool/cron/用户名 例如: /var/spool/cron/root
crontab -r   删除每个用户cront任务(谨慎:删除所有的计划任务)
crontab -e   使用编辑器编辑当前的crontab文件 
如:*/1 * * * * echo "hello world" >> /tmp/test.txt 每分钟写入文件
/var/spool/cron/* /etc/crontab/etc/cron.d/*/etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/*/etc/cron.weekly//etc/anacrontab/var/spool/anacron/*

查看以上目录是否有可疑脚本。

7.检查异常服务

检查方法

查询已安装的服务

chkconfig  --list  查看服务自启动状态,可以看到所有的RPM包安装的服务ps aux | grep crond 查看当前服务
系统在35级别下的启动项 中文环境chkconfig --list | grep "3:启用|5:启用"英文环境chkconfig --list | grep "3:on|5:on"

源码包安装的服务

查看服务安装位置 ,一般是在/user/local/service httpd start搜索/etc/rc.d/init.d/  查看是否存在

8.检查异常文件

find / -iname "*" -atime 1 -type f

使用该命令可疑查看一天前访问的文件。




注:如有侵权请后台联系进行删除

觉得内容不错,请点一下"赞"和"在看"



Linux入侵排查
点击上方公众号
Linux入侵排查
关注我们
Linux入侵排查








往期精彩

Armitage|MSF图形界面神器


原创|Searchall3.5.8敏感信息搜索工具







1、公众号后台回复:搜索大法,获取searchall工具下载链接。

2、公众号后台回复:靶场,获取靶场工具网盘下载链接。

3、公众号后台回复:webshell,获取webshell下载链接。

4、公众号后台回复:验证码,获取验证码工具下载链接。

5.公众号后台回复:应急响应,获取应急响应网盘下载链接。

6.公众号后台回复:CS,获取CS渗透工具包网盘下载链接。


原文始发于微信公众号(嗨嗨安全):Linux入侵排查

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月21日15:29:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Linux入侵排查https://cn-sec.com/archives/2218467.html

发表评论

匿名网友 填写信息