Linux应急响应基础

应急响应一般分为以下五个环节

• 信息收集：收集客户信息、受害机器信息、系统日志web日志、设备报警信息、流量信息等等。

• 判断类型：判断安全事件类型。

• 深入分析：对收集到的日志进一步分析，日志分析、进程分析、启动项分析、样本分析、流量分析等。

• 清理处置：得到分析结果进行处置，阻断攻击、删除文件、修复漏洞。

• 产出报告：整理安全事件并输出报告

本文主要讲述应急响应中关键目录以及常用命令

关键目录

常用信息目录

/etc/password#用户信息文件
/etc/rc.d/rc/local#开机启动项
root/.ssh#root用户ssh公钥和私钥
/tmp#系统或用户临时文件目录
/etc/hosts#本地ip地址域名解析文件
/etc/init.d/    #开机启动项
/etc/shadow    #影子文件
/etc/crontab#定时任务

系统日志

日志默认存放位置：/var/log/
查看日志配置情况：more /etc/rsyslog.conf
/var/log/cron #记录系统定时任务相关的日志
/var/log/message #记录Linux操作系统常见的系统和服务错误信息(首要检查对象)
/var/log/btmp #记录错误登录（登陆失败）日志；使用lastb命令查看
/var/log/lastlog #记录系统中所有用户最后一次成功登录时间，使用lastlog命令查看
/var/log/wtmp #永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件；用last命令来查看
/var/log/utmp #只记录当前登录用户的信息；使用w,who,users等命令来查询
/var/log/secure #记录验证和授权方面的信息，如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码
/var/log/syslog #只记录警告信息，常常是系统出问题的信息

常用命令

进程、文件、网络排查

ls -alt #查看当前目录下所有文件并排序

free -h #查看系统内存使用情况

ps auxf #查看系统进程及子进程

top #查看进程以及cpu占用率

netstat -antpl #查看网络连接

ls -alh /proc/pid #查看对应pid的可执行程序

lsof -i:port #查看端口打开的文件

lsof -p:pid #查看进程打开的文件

lsof -u root #查看用户打开的文件

chattr #修改文件属性

lsattr #显示文件属性

排查启动项

cat etc/rc.local
ls -alt /etc/profiled.d.*sh

grep #查找符合要求的字符串

netstat -antpl |grep 22

定时任务排查

cat /etc/password | cut-f 1 -d :|xargs -l {} crontab -l -u {}
ls -al /var/spool/cron/* 
cat /etc/crontab
more /etc/cron.d/*
more /etc/cron.daily/* 
more /etc/cron.hourly/* 
more /etc/cron.monthly/*
more /etc/cron.weekly/

#查看目录下所有文件
more /etc/cron.d/*

/etc/anacrontab
/var/spool/anacron/*

历史命令排查

history
cat ~/.bash_history

命令篡改排查

校验rpm包

rom -Va
dpkg -verify

根据时间线筛选

stat #查看文件夹详细信息
find / mtime 0 -mtime *.jsp #查找指定目录下，指定天数内修改的指定类型文件
find / mtime 0 -ctime *.jsp #查找指定目录下，指定天数内新增的指定类型文件

文件对比（网页篡改等场景）

diff -c 文件1 文件2

用户登录记录

last #用户登录历史记录
lastb #用户登录失败记录
lastlog #用户最近一次登录信息

原文始发于微信公众号（Khan安全攻防实验室）：Linux应急响应基础