检测系统中是否存在入侵行为是迈向事件响应的重要一步。事件响应的范围非常广泛,但最好从小处着手。在执行事件响应时,您应该始终关注可疑系统和可能存在漏洞的区域。利用事件响应,您可以在初级阶段检测到大量攻击。
事件响应的目的无非就是实时取证。可以进行调查以获取任何数字证据。本文主要介绍如何在 Linux 系统中执行事件响应。因此,要开始使用此备忘单,请打开 Linux 机器并打开终端以完成这些命令。
-
什么是事件响应 -
用户帐户 -
日志条目 -
系统资源 -
流程 -
服务 -
文件 -
网络
-
可以通过以下方式克服的安全事故: -
通过检查正在运行的进程 -
通过了解物理内存的内容。 -
通过收集主机名、IP 地址、操作系统等详细信息 -
收集有关系统服务的信息。 -
通过识别登录系统的所有已知和未知用户。 -
通过检查网络连接、开放端口和任何网络活动。 -
通过确定存在的各种文件 -
用户帐户
cat/etc/passwd
passwd -S
grep :0: /etc/passwd
要识别并显示攻击者是否创建了任何临时用户来执行攻击,请键入
find/-nouser-print
/etc/shadow 包含加密密码以及有关密码的详细信息,只有 root 用户可以访问。
cat /etc/shadow
组文件显示用户使用的组的信息。要查看详细信息,请键入
cat /etc/group
如果要查看要显示的用户和组权限信息,可以查看/etc/sudoers文件
cat /etc/sudoers
lastlog
要识别系统中任何奇怪的 SSH 和 telnet 登录或身份验证,你可以转到/var/log/目录,然后输入
tail auth.log
SSH 日志
Telnet 日志
要查看用户输入的命令的历史记录,您可以输入 history ,输入 less ,甚至可以输入您最后输入的命令数。要查看历史记录,您可以输入
history | less
系统资源
系统资源可以告诉你很多关于系统日志信息,系统正常运行时间,内存空间和系统利用率等。
要知道你的Linux系统是否已经超时运行,或者查看服务器运行了多长时间,系统当前时间,当前有多少用户登录,以及系统的平均负载,那么你可以输入
uptime
要查看 Linux 系统的内存使用情况、系统使用的物理内存和交换内存以及内核使用的缓冲区,您可以输入:
free
作为事件响应者,要检查系统上的 RAM、可用内存空间、缓冲区和交换的详细信息,您可以输入
cat /proc/meminfo
作为事件响应者,您有责任检查系统上是否存在未知的挂载,要检查系统上存在的挂载,您可以输入
cat /proc/mounts
流程
作为事件响应者,您在查看系统生成的输出时应该始终保持好奇心。好奇心会迫使您查看系统中当前正在运行的程序,它们是否需要运行以及是否应该运行,以及这些进程的 CPU 使用情况等。
为了动态实时地查看 Linux 系统中运行的所有进程、系统信息摘要以及 Linux 内核管理的进程及其 ID 号或线程列表,您可以使用
top
要查看 Linux 的进程状态和当前正在运行的进程系统以及 PID。为了识别可能表明 Linux 系统中存在任何恶意活动的异常进程,您可以使用
ps aux
要显示特定进程的更多详细信息,您可以使用,
lsof –p
服务
Linux 系统中的服务可分为系统服务和网络服务。系统服务包括服务状态、cron 等,网络服务包括文件传输、域名解析、防火墙等。作为事件响应者,您需要识别服务中是否存在任何异常。
要查找任何异常运行的服务,您可以使用
service –-status-all
事件响应者应查找任何可疑的计划任务和作业。要查找计划任务,您可以使用:
cat /etc/crontab
要解决 DNS 配置问题并获取包含各种解析器信息的关键字列表,您可以使用
more /etc/resolv.conf
要检查将主机名或域名转换为 IP 地址的文件(这对于测试网站或 SSL 设置的更改很有用),您可以使用
more /etc/hosts
要检查和管理 Linux 系统中的 IPv4 数据包过滤和 NAT,您可以使用 iptables 并可以使用各种命令,例如:
iptables -L -n
文件
作为事件响应者,您应该注意系统中任何看起来异常的文件。
要识别系统中任何过大的文件及其目标的权限,您可以使用
find /home/ -type f -size +512k -exec ls -lh {} ;
每当任何命令运行时,如果 设置了SUID 位,则其有效 UID 将成为该文件的所有者。因此,如果您想查找所有持有 SUID 位的文件,则可以通过键入以下命令来检索
find /etc/ -readable -type f 2>/dev/null
作为事件响应者,如果你想查看系统中存在 2 天的异常文件,你可以使用以下命令:
find / -mtime -2 -ls
网络设置
作为事件响应者,您应该密切关注网络活动和设置。了解系统网络的整体情况及其健康状况至关重要。要获取网络活动信息,您可以使用各种命令。
要查看系统上的网络接口,你可以使用
ifconfig
要列出所有正在监听端口的进程及其 PID,你可以使用
lsof -i
要显示网络中的所有监听端口,请使用
netstat -nap
要显示系统 ARP 缓存,您可以输入
arp -a
$PATH 显示一个目录列表,告诉 shell 在哪些目录中搜索可执行文件,以便检查您可以使用的路径中的目录。
echo $PATH
欢迎关注“三沐数安”,请分享给更多的网安爱好者,大家一起研究网络安全技术。三沐专注于数据安全建设和网络安全建设,解决您身边的网络安全问题,成为您的安全好帮手
原文始发于微信公众号(三沐数安):事件响应-Linux
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论