声明
该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
1.入侵排查思路
账号安全
基本使用
1、用户信息文件 /etc/passwdroot:x:0:0:root:/root:/bin/bashaccount:password:UID:GID:GECOS:directory:shell用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后的 shell注意:无密码只允许本机登陆,远程不允许登陆2、影子文件 /etc/shadowroot:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留
who 查看当前登录用户(tty 本地登陆 pts 远程登录)w 查看系统信息,想知道某一时刻用户的行为uptime 查看登陆多久、多少用户,负载状态
入侵排查
1、查询特权用户特权用户(uid 为0)[root ~]# awk -F: '$3==0{print $1}' /etc/passwd2、查询可以远程登录的帐号信息[root ~]# awk '/$1|$6/{print $1}' /etc/shadow3、除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限[root ~]# more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)"4、禁用或删除多余及可疑的帐号usermod -L user 禁用帐号,帐号无法登录,/etc/shadow 第二栏为 ! 开头userdel user 删除 user 用户userdel -r user 将删除 user 用户,并且将 /home 目录下的 user 目录一并删除
2.历史命令
基本使用
通过.bash_history文件查看系统执行过的命令
1、root 用户的历史命令histroy2、打开 /home 各帐号目录下的 .bash_history,查看普通帐号执行的历史命令。为历史的命令增加登录的 IP 地址、执行命令时间等信息:1)保存1万条命令sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile2)在/etc/profile的文件尾部添加如下行数配置信息:######jiagu history xianshi#########USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`if [ "$USER_IP" = "" ]thenUSER_IP=`hostname`fiexport HISTTIMEFORMAT="%F %T $USER_IP `whoami` "shopt -s histappendexport PROMPT_COMMAND="history -a"######### jiagu history xianshi ##########3)source /etc/profile 让配置生效生成效果:1 2018-07-10 19:45:39 192.168.204.1 root source /etc/profile3、历史操作命令的清除:history -c但此命令并不会清除保存在文件中的记录,因此需要手动删除 .bash_profile 文件中的记录。
入侵排查
进入用户目录下,导出历史命令。cat .bash_history >> history.txt
3.检查异常端口
使用netstat命令,分析可以端口,ip,PID
netstat -antlp | more查看下 pid 所对应的进程文件路径,运行 ls -l /proc/$PID/exe 或 file /proc/$PID/exe($PID 为对应的 pid 号)
4.检查异常进程
使用PS命令,进行检查
ps aux | grep pid5.检查开机启动项
启动项文件
more /etc/rc.local/etc/rc.d/rc[0~6].dls -l /etc/rc.d/rc3.d/
6.检查定时任务
查看命令
crontab -l 列出某个用户cron服务的详细内容Tips:默认编写的crontab文件会保存在 (/var/spool/cron/用户名 例如: /var/spool/cron/rootcrontab -r 删除每个用户cront任务(谨慎:删除所有的计划任务)crontab -e 使用编辑器编辑当前的crontab文件如:*/1 * * * * echo "hello world" >> /tmp/test.txt 每分钟写入文件
/var/spool/cron/*/etc/crontab/etc/cron.d/*/etc/cron.daily/*/etc/cron.hourly/*/etc/cron.monthly/*/etc/cron.weekly//etc/anacrontab/var/spool/anacron/*
查看以上目录是否有可疑脚本。
7.检查异常服务
检查方法
查询已安装的服务
chkconfig --list 查看服务自启动状态,可以看到所有的RPM包安装的服务ps aux | grep crond 查看当前服务系统在3与5级别下的启动项中文环境chkconfig --list | grep "3:启用|5:启用"英文环境chkconfig --list | grep "3:on|5:on"
源码包安装的服务
查看服务安装位置 ,一般是在/user/local/service httpd start搜索/etc/rc.d/init.d/ 查看是否存在
8.检查异常文件
find / -iname "*" -atime 1 -type f使用该命令可疑查看一天前访问的文件。
注:如有侵权请后台联系进行删除
觉得内容不错,请点一下"赞"和"在看"
往期精彩
1、公众号后台回复:搜索大法,获取searchall工具下载链接。
2、公众号后台回复:靶场,获取靶场工具网盘下载链接。
3、公众号后台回复:webshell,获取webshell下载链接。
4、公众号后台回复:验证码,获取验证码工具下载链接。
5.公众号后台回复:应急响应,获取应急响应网盘下载链接。
6.公众号后台回复:CS,获取CS渗透工具包网盘下载链接。
原文始发于微信公众号(嗨嗨安全):Linux入侵排查
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论