事件响应-Linux

admin 2024年11月20日14:24:47评论16 views字数 2645阅读8分49秒阅读模式

检测系统中是否存在入侵行为是迈向事件响应的重要一步。事件响应的范围非常广泛,但最好从小处着手。在执行事件响应时,您应该始终关注可疑系统和可能存在漏洞的区域。利用事件响应,您可以在初级阶段检测到大量攻击。

事件响应的目的无非就是实时取证。可以进行调查以获取任何数字证据。本文主要介绍如何在 Linux 系统中执行事件响应。因此,要开始使用此备忘单,请打开 Linux 机器并打开终端以完成这些命令。

目录
  • 什么是事件响应
  • 用户帐户
  • 日志条目
  • 系统资源
  • 流程
  • 服务
  • 文件
  • 网络
什么是事件响应?
事件响应可以定义为每次发生计算机或网络安全事件时采取的行动。作为事件响应者,您应该始终了解系统中应该出现什么,不应该出现什么。
  1. 可以通过以下方式克服的安全事故:
  2. 通过检查正在运行的进程
  3. 通过了解物理内存的内容。
  4. 通过收集主机名、IP 地址、操作系统等详细信息
  5. 收集有关系统服务的信息。
  6. 通过识别登录系统的所有已知和未知用户。
  7. 通过检查网络连接、开放端口和任何网络活动。
  8. 通过确定存在的各种文件
  9. 用户帐户
作为事件响应者,调查用户帐户的活动非常重要。它可以帮助您了解已登录的用户、现有用户、正常或异常登录、失败的登录尝试、权限、sudo 访问等。检查用户帐户活动的各种命令:
要确定系统中是否存在可疑帐户。此 cat 命令通常会获取有关用户帐户的所有信息。为此,请键入
cat/etc/passwd
事件响应-Linux
Linux 中的“Setuid”选项是唯一的文件权限。因此,在 Linux 系统上,当用户想要更改密码时,他们可以运行“passwd”命令。由于 root 帐户被标记为 setuid,因此您可以获得临时权限。
passwd -S [用户名]
事件响应-Linux
Grep 用于在纯文本中搜索与正则表达式匹配的行。:0: 用于显示 /etc/passwd 文件中的“UID 0”文件。
grep :0: /etc/passwd

事件响应-Linux

要识别并显示攻击者是否创建了任何临时用户来执行攻击,请键入

find/-nouser-print

事件响应-Linux

/etc/shadow 包含加密密码以及有关密码的详细信息,只有 root 用户可以访问。

cat /etc/shadow

事件响应-Linux

组文件显示用户使用的组的信息。要查看详细信息,请键入

cat /etc/group

事件响应-Linux

如果要查看要显示的用户和组权限信息,可以查看/etc/sudoers文件

cat /etc/sudoers

事件响应-Linux

日志条目
要查看特定用户或 Linux 系统中所有用户的最近登录报告,您可以输入:
lastlog

事件响应-Linux

要识别系统中任何奇怪的 SSH 和 telnet 登录或身份验证,你可以转到/var/log/目录,然后输入

tail auth.log

SSH 日志

事件响应-Linux

Telnet 日志

事件响应-Linux

要查看用户输入的命令的历史记录,您可以输入 history ,输入 less ,甚至可以输入您最后输入的命令数。要查看历史记录,您可以输入

history | less

事件响应-Linux

事件响应-Linux

系统资源

系统资源可以告诉你很多关于系统日志信息,系统正常运行时间,内存空间和系统利用率等。

要知道你的Linux系统是否已经超时运行,或者查看服务器运行了多长时间,系统当前时间,当前有多少用户登录,以及系统的平均负载,那么你可以输入

uptime

事件响应-Linux

要查看 Linux 系统的内存使用情况、系统使用的物理内存和交换内存以及内核使用的缓冲区,您可以输入:

free

事件响应-Linux

作为事件响应者,要检查系统上的 RAM、可用内存空间、缓冲区和交换的详细信息,您可以输入

cat /proc/meminfo

事件响应-Linux

作为事件响应者,您有责任检查系统上是否存在未知的挂载,要检查系统上存在的挂载,您可以输入

cat /proc/mounts

事件响应-Linux

流程

作为事件响应者,您在查看系统生成的输出时应该始终保持好奇心。好奇心会迫使您查看系统中当前正在运行的程序,它们是否需要运行以及是否应该运行,以及这些进程的 CPU 使用情况等。

为了动态实时地查看 Linux 系统中运行的所有进程、系统信息摘要以及 Linux 内核管理的进程及其 ID 号或线程列表,您可以使用

top

事件响应-Linux

要查看 Linux 的进程状态和当前正在运行的进程系统以及 PID。为了识别可能表明 Linux 系统中存在任何恶意活动的异常进程,您可以使用

ps aux

事件响应-Linux

要显示特定进程的更多详细信息,您可以使用,

lsof –p [pid]

事件响应-Linux

服务

Linux 系统中的服务可分为系统服务和网络服务。系统服务包括服务状态、cron 等,网络服务包括文件传输、域名解析、防火墙等。作为事件响应者,您需要识别服务中是否存在任何异常。

要查找任何异常运行的服务,您可以使用

service –-status-all

事件响应-Linux

事件响应者应查找任何可疑的计划任务和作业。要查找计划任务,您可以使用:

cat /etc/crontab

事件响应-Linux

要解决 DNS 配置问题并获取包含各种解析器信息的关键字列表,您可以使用

more /etc/resolv.conf

事件响应-Linux

要检查将主机名或域名转换为 IP 地址的文件(这对于测试网站或 SSL 设置的更改很有用),您可以使用

more /etc/hosts

事件响应-Linux

要检查和管理 Linux 系统中的 IPv4 数据包过滤和 NAT,您可以使用 iptables 并可以使用各种命令,例如:

iptables -L -n

事件响应-Linux

文件

作为事件响应者,您应该注意系统中任何看起来异常的文件。

要识别系统中任何过大的文件及其目标的权限,您可以使用

find /home/ -type f -size +512k -exec ls -lh {} ;

事件响应-Linux

每当任何命令运行时,如果 设置了SUID 位,则其有效 UID 将成为该文件的所有者。因此,如果您想查找所有持有 SUID 位的文件,则可以通过键入以下命令来检索

find /etc/ -readable -type f 2>/dev/null

事件响应-Linux

作为事件响应者,如果你想查看系统中存在 2 天的异常文件,你可以使用以下命令:

find / -mtime -2 -ls

事件响应-Linux

网络设置

作为事件响应者,您应该密切关注网络活动和设置。了解系统网络的整体情况及其健康状况至关重要。要获取网络活动信息,您可以使用各种命令。

要查看系统上的网络接口,你可以使用

ifconfig

事件响应-Linux

要列出所有正在监听端口的进程及其 PID,你可以使用

lsof -i

事件响应-Linux

要显示网络中的所有监听端口,请使用

netstat -nap

事件响应-Linux

要显示系统 ARP 缓存,您可以输入

arp -a

事件响应-Linux

$PATH 显示一个目录列表,告诉 shell 在哪些目录中搜索可执行文件,以便检查您可以使用的路径中的目录。

echo $PATH

事件响应-Linux

欢迎关注“三沐数安”,请分享给更多的网安爱好者,大家一起研究网络安全技术。三沐专注于数据安全建设和网络安全建设,解决您身边的网络安全问题,成为您的安全好帮手

原文始发于微信公众号(三沐数安):事件响应-Linux

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月20日14:24:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   事件响应-Linuxhttps://cn-sec.com/archives/3415282.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息