事件响应-Linux 备忘单

检测系统中是否存在入侵行为是迈向事件响应的重要一步。事件响应的范围非常广泛，但最好从小处着手。在执行事件响应时，您应该始终关注可疑系统和可能存在漏洞的区域。利用事件响应，您可以在初级阶段检测到大量攻击。

事件响应的目的无非就是实时取证。可以进行调查以获取任何数字证据。本文主要介绍如何在 Linux 系统中执行事件响应。因此，要开始使用此备忘单，请打开您的 Linux 机器并打开终端以完成这些命令。

目录

• 什么是事件响应
• 用户帐户
• 日志条目
• 系统资源
• 流程
• 服务
• 文件
• 网络

什么是事件响应？

事件响应可以定义为每次发生计算机或网络安全事件时采取的行动。作为事件响应者，您应该始终了解系统中应该出现什么，不应该出现什么。

可以通过以下方式克服的安全事故：

• 通过检查正在运行的进程
• 通过了解物理内存的内容。
• 通过收集主机名、IP 地址、操作系统等详细信息
• 收集有关系统服务的信息。
• 通过识别登录系统的所有已知和未知用户。
• 通过检查网络连接、开放端口和任何网络活动。
• 通过确定存在的各种文件 

用户帐户

作为事件响应者，调查用户帐户的活动非常重要。它可以帮助您了解已登录的用户、现有用户、正常或异常登录、失败的登录尝试、权限、sudo 访问等。检查用户帐户活动的各种命令：

要确定系统中是否存在可疑帐户。此 cat 命令通常会获取有关用户帐户的所有信息。为此，请键入

cat/etc/passwd

Linux 中的“Setuid”选项是唯一的文件权限。因此，在 Linux 系统上，当用户想要更改密码时，他们可以运行“passwd”命令。由于 root 帐户被标记为 setuid，因此您可以获得临时权限。

passwd -S [用户名]

Grep 用于在纯文本中搜索与正则表达式匹配的行。:0: 用于显示 /etc/passwd 文件中的“UID 0”文件。

grep :0: /etc/passwd

要识别并显示攻击者是否创建了任何临时用户来执行攻击，请键入

find/-nouser-print

/etc/shadow 包含加密密码以及有关密码的详细信息，只有 root 用户可以访问。

cat/etc/shadow

组文件显示用户使用的组的信息。要查看详细信息，请键入

cat/etc/groub

如果要查看要显示的用户和组权限信息，可以查看/etc/sudoers文件

cat/etc/sudoers

日志条目

要查看特定用户或 Linux 系统中所有用户的最近登录报告，您可以输入：

lastlog

要识别系统中任何奇怪的 SSH 和 telnet 登录或身份验证，你可以转到/var/log/目录，然后输入

tail auth.log

SSH 日志

Telnet 日志

要查看用户输入的命令的历史记录，您可以输入 history ，输入 less ，甚至可以输入您最后输入的命令数。要查看历史记录，您可以输入

系统资源

系统资源可以告诉你很多关于系统日志信息、系统正常运行时间、内存空间和系统利用率等的信息。

要知道你的Linux系统是否已经超时运行，或者查看服务器运行了多长时间，系统当前时间，当前有多少用户登录，以及系统的平均负载，那么你可以输入

要查看 Linux 系统的内存使用情况、系统使用的物理内存和交换内存以及内核使用的缓冲区，您可以输入：

free

作为事件响应者，要检查系统上的 RAM、可用内存空间、缓冲区和交换的详细信息，您可以输入

cat/proc/meminfo

作为事件响应者，您有责任检查系统上是否存在未知的挂载，要检查系统上是否存在挂载，您可以输入

cat/ proc /mounts

流程

作为事件响应者，您在查看系统生成的输出时应该始终保持好奇心。好奇心会迫使您查看系统中当前正在运行的程序，它们是否需要运行以及是否应该运行，以及这些进程的 CPU 使用情况等。

为了动态实时地查看 Linux 系统中运行的所有进程、系统信息摘要以及 Linux 内核管理的进程及其 ID 号或线程列表，您可以使用

top

要查看 Linux 的进程状态和当前正在运行的进程系统以及 PID。为了识别可能表明 Linux 系统中存在任何恶意活动的异常进程，您可以使用

ps aux

要显示特定进程的更多详细信息，您可以使用，

lsof –p [进程ID]

服务

Linux 系统中的服务可分为系统服务与网络服务。系统服务包括服务状态、cron 等，网络服务包括文件传输、域名解析、防火墙等。作为事件响应者，您需要识别服务中是否存在任何异常。

要查找任何异常运行的服务，您可以使用

事件响应者应查找任何可疑的计划任务和作业。要查找计划任务，您可以使用：

要解决 DNS 配置问题并获取包含各种解析器信息的关键字列表，您可以使用

要检查将主机名或域名转换为 IP 地址的文件（这对于测试网站或 SSL 设置的更改很有用），您可以使用

要检查和管理 Linux 系统中的 IPv4 数据包过滤和 NAT，您可以使用 iptables 并可以使用各种命令，例如：

iptables -L -n

文件

作为事件响应者，您应该注意系统中任何看起来异常的文件。

要识别系统中任何过大的文件及其目标的权限，您可以使用

每当任何命令运行时，如果  设置了 SUID位，则其有效UID 将成为该文件的所有者。因此，如果您想查找所有持有 SUID 位的文件，则可以通过键入以下命令来检索

网络设置

作为事件响应者，您应该密切关注网络活动和设置。了解系统网络的整体情况及其健康状况至关重要。要获取网络活动信息，您可以使用各种命令。

要查看系统上的网络接口，你可以使用

要列出所有正在监听端口的进程及其 PID，你可以使用

lsof-i

要显示网络中的所有监听端口，请使用

要显示系统 ARP 缓存，您可以输入

$PATH 显示一个目录列表，告诉 shell 在哪些目录中搜索可执行文件，以便检查您可以使用的路径中的目录。

原文始发于微信公众号（三沐数安）：事件响应-Linux 备忘单