应急响应一般分为以下五个环节
-
信息收集:收集客户信息、受害机器信息、系统日志web日志、设备报警信息、流量信息等等。
-
判断类型:判断安全事件类型。
-
深入分析:对收集到的日志进一步分析,日志分析、进程分析、启动项分析、样本分析、流量分析等。
-
清理处置:得到分析结果进行处置,阻断攻击、删除文件、修复漏洞。
-
产出报告:整理安全事件并输出报告
本文主要讲述应急响应中关键目录以及常用命令
关键目录
常用信息目录
/etc/password#用户信息文件
/etc/rc.d/rc/local#开机启动项
root/.ssh#root用户ssh公钥和私钥
/tmp#系统或用户临时文件目录
/etc/hosts#本地ip地址域名解析文件
/etc/init.d/ #开机启动项
/etc/shadow #影子文件
/etc/crontab#定时任务
系统日志
日志默认存放位置:/var/log/
查看日志配置情况:more /etc/rsyslog.conf
/var/log/cron #记录系统定时任务相关的日志
/var/log/message #记录Linux操作系统常见的系统和服务错误信息(首要检查对象)
/var/log/btmp #记录错误登录(登陆失败)日志;使用lastb命令查看
/var/log/lastlog #记录系统中所有用户最后一次成功登录时间,使用lastlog命令查看
/var/log/wtmp #永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件;用last命令来查看
/var/log/utmp #只记录当前登录用户的信息;使用w,who,users等命令来查询
/var/log/secure #记录验证和授权方面的信息,如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码
/var/log/syslog #只记录警告信息,常常是系统出问题的信息
常用命令
进程、文件、网络排查
ls -alt #查看当前目录下所有文件并排序
free -h #查看系统内存使用情况
ps auxf #查看系统进程及子进程
top #查看进程以及cpu占用率
netstat -antpl #查看网络连接
ls -alh /proc/pid #查看对应pid的可执行程序
lsof -i:port #查看端口打开的文件
lsof -p:pid #查看进程打开的文件
lsof -u root #查看用户打开的文件
chattr #修改文件属性
lsattr #显示文件属性
排查启动项
cat etc/rc.local
ls -alt /etc/profiled.d.*sh
grep #查找符合要求的字符串
netstat -antpl |grep 22
定时任务排查
cat /etc/password | cut-f 1 -d :|xargs -l {} crontab -l -u {}
ls -al /var/spool/cron/*
cat /etc/crontab
more /etc/cron.d/*
more /etc/cron.daily/*
more /etc/cron.hourly/*
more /etc/cron.monthly/*
more /etc/cron.weekly/
#查看目录下所有文件
more /etc/cron.d/*
/etc/anacrontab
/var/spool/anacron/*
历史命令排查
history
cat ~/.bash_history
命令篡改排查
校验rpm包
rom -Va
dpkg -verify
根据时间线筛选
stat #查看文件夹详细信息
find / mtime 0 -mtime *.jsp #查找指定目录下,指定天数内修改的指定类型文件
find / mtime 0 -ctime *.jsp #查找指定目录下,指定天数内新增的指定类型文件
文件对比(网页篡改等场景)
diff -c 文件1 文件2
用户登录记录
last #用户登录历史记录
lastb #用户登录失败记录
lastlog #用户最近一次登录信息
原文始发于微信公众号(Khan安全攻防实验室):Linux应急响应基础
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论