Linux应急响应基础

admin 2024年6月3日08:59:22评论18 views字数 1615阅读5分23秒阅读模式

应急响应一般分为以下五个环节

  • 信息收集:收集客户信息、受害机器信息、系统日志web日志、设备报警信息、流量信息等等。

  • 判断类型:判断安全事件类型。

  • 深入分析:对收集到的日志进一步分析,日志分析、进程分析、启动项分析、样本分析、流量分析等。

  • 清理处置:得到分析结果进行处置,阻断攻击、删除文件、修复漏洞。

  • 产出报告:整理安全事件并输出报告

本文主要讲述应急响应中关键目录以及常用命令

关键目录

常用信息目录

/etc/password#用户信息文件
/etc/rc.d/rc/local#开机启动项
root/.ssh#root用户ssh公钥和私钥
/tmp#系统或用户临时文件目录
/etc/hosts#本地ip地址域名解析文件
/etc/init.d/   #开机启动项
/etc/shadow   #影子文件
/etc/crontab#定时任务

系统日志

日志默认存放位置:/var/log/
查看日志配置情况:more /etc/rsyslog.conf
/var/log/cron #记录系统定时任务相关的日志
/var/log/message #记录Linux操作系统常见的系统和服务错误信息(首要检查对象)
/var/log/btmp #记录错误登录(登陆失败)日志;使用lastb命令查看
/var/log/lastlog #记录系统中所有用户最后一次成功登录时间,使用lastlog命令查看
/var/log/wtmp #永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件;用last命令来查看
/var/log/utmp #只记录当前登录用户的信息;使用w,who,users等命令来查询
/var/log/secure #记录验证和授权方面的信息,如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码
/var/log/syslog #只记录警告信息,常常是系统出问题的信息

常用命令

进程、文件、网络排查

ls -alt #查看当前目录下所有文件并排序

free -h #查看系统内存使用情况

ps auxf #查看系统进程及子进程

top #查看进程以及cpu占用率

netstat -antpl #查看网络连接

ls -alh /proc/pid #查看对应pid的可执行程序

lsof -i:port #查看端口打开的文件

lsof -p:pid #查看进程打开的文件

lsof -u root #查看用户打开的文件

chattr #修改文件属性

lsattr #显示文件属性

排查启动项

cat etc/rc.local
ls -alt /etc/profiled.d.*sh

grep #查找符合要求的字符串

netstat -antpl |grep 22

定时任务排查

cat /etc/password | cut-f 1 -d :|xargs -l {} crontab -l -u {}
ls -al /var/spool/cron/*
cat /etc/crontab
more /etc/cron.d/*
more /etc/cron.daily/*
more /etc/cron.hourly/*
more /etc/cron.monthly/*
more /etc/cron.weekly/

#查看目录下所有文件
more /etc/cron.d/*

/etc/anacrontab
/var/spool/anacron/*

历史命令排查

history
cat ~/.bash_history

命令篡改排查

校验rpm包

rom -Va
dpkg -verify

根据时间线筛选

stat #查看文件夹详细信息
find / mtime 0 -mtime *.jsp #查找指定目录下,指定天数内修改的指定类型文件
find / mtime 0 -ctime *.jsp #查找指定目录下,指定天数内新增的指定类型文件

文件对比(网页篡改等场景)

diff -c 文件1 文件2

用户登录记录

last #用户登录历史记录
lastb #用户登录失败记录
lastlog #用户最近一次登录信息

原文始发于微信公众号(Khan安全攻防实验室):Linux应急响应基础

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月3日08:59:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Linux应急响应基础https://cn-sec.com/archives/2807536.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息