ifconfig :查看自己服务器接受和发出的流量
top -c -o %CPU 【-c 显示进程命令行, - p显示进程ipd】
查看进程占用cpu的情况
ps -eo pid,ppid,%mem,%cpu,cmd --sort=-%cpu | head -n 5输出cpu占用前五的信息 【--sort=- 以...作为检索依据 %mem是内存】
lsof -i -PnR 查看网络通信的情况
ps aux | grep [pid] 寻找pid对应的进程 【第一行是结果】
lsof -p [pid] 查看进程打开的文件
md5sum [文件名] 例:md5sum nc.exe查看文件的md5值 【可以查看文件是否存在改变】
【重要文件要提前记录MD5值】
01.安全事件怎么处置:
webshell查杀:www.shellpub.com
02.病毒/rootkit查杀:www.chkrootkit.org
是否被植入后门,木马,rootkit
检测系统命令是否正常
检测登录日志
使用方法:
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gztar zxvf chkrootkit.tar.gzcd chkrootkit-0.52make sense编译没有报错的话:./chkrootkit
rkhunter:binary(系统命令)检测,包括MD5校验
rootkit 检测
本机铭感目录,系统配置,服务,套间异常检测
第三方应用版本检测
使用方法:
wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz tar -zxvf rkhunter-1.4.4.tar.gzcd rkhunter-1.4.4./installer.sh --installrkhunter -c
综合查杀工具
www.xmirror.cn/page/prodon
03.处理恶意程序:
通常情况下linux的恶意程序处置,靠人工解决:
who 【查看有哪些用户在登录】
完全查看网络和端口情况:
netstat -ano简单查看端口,ipd,程序:
netstat -utnpl查看arp表
arp -a 查看arp表
进程与端口关系查看:
lsof -i :[port]显示进程和端口的对应关系
ls -l /proc/[pid]/exefile /proc/[pid]/exe
查看某个pid对应的文件路径
使用iptables屏蔽ip:【屏蔽ip访问】
iptables -A OUTPUT -d [目标ip] -j DROPiptables -A INPUT -s [目标ip] -j DROP封锁和x.com之间的域名通信:iptables -I INPUT -p tcp --deport 80 -m string --string "x.com" --algo bm -j DROP
04. 进程检查:
ps -aux 查看所有进程ps -ef 查看细致进程top -clsof -p [pid] 查看pid的相关进程lsof -i :[port] 查看端口相关进程lsof -c 查看文件相关进程lsof eval.sh 查看文件占用对比分析查找隐藏进程:ps -ef | awk '{print}' | sort -n | uniq >1ls /proc | sort -n | uniq >2diff 1 2
05. 启动项排查:
cd /etc/init.d/ 【服务的启动脚本】cd /etc/xinetd.d/查看rc.local文件(/etc/init.d/rc.local)cd /etc/rc.d/rc0.d/ 【存放init.d的快捷方式】cd /etc/rc.d/rc1.d/.......cd /etc/rc.d/rc6.d/cd /etc/profile.d/
06. 计划任务:
/etc/crontab/var/spool/cron/[用户名]/var/spool/cron/crontabscrontab -l 查看计划任务crontab -r 删除计划任务【谨慎!!!】crontab -e 使用编辑器,编辑计划任务
几分钟 几点 几号 几月 周几【周日是0 周一是1】
/var/spool/cron/*/var/spool/anacron/*/etc/crontab/*/etc/cron.d/*/etc/cron.时间/*
07.服务排查:
查看网络服务
cat /etc/services
1-1024 系统保留 只能root使用
1025-4999 客户端自由分配
5000-65535 服务器程序自由分配
08. 服务自启动:
chkconfig --level [运行级别] [服务名] [on/off]
例子:
chkconfig --level 2345 httpd on
运行级别:
0 - 关机
1 - 单用户
2 - 无网络连接的命令行模式
3 - 有网络连接的命令行模式
4 - 不可用
5 - 图形界面多用户模式
6 - 重启
chkconfig --list 查看服务自启动的状态
chkconfig --del 删除相关服务
09. 文件检查:
webshell 后门可以通过sftp复制出来进行查杀
1. 敏感目录文件分析
/etc/init.d/user/bin/user/sbin
上面三个,查看是否存在命令替换
ls -alt 时间排序file [文件]特殊权限文件查找find / *.jsp -perm 4777 【查看有没有人使用jsp文件并设为777权限】
2. 隐藏文件:【以.开头的文件是隐藏属性】
ls -al /tmp | grep "Feb 10"3. 敏感目录:【时间检查】【MD5的值】
/tmp/root/bin/user/bin/user/sbin/sbin
使用py批量对MD5的值进行快照
然后再进行比对
被入侵的系统肯定有文件被改动,
通过比较文件MD5,创建时间,文件路径
find / -uid 0 -print 查找特权文件find / -size +10000k -print 查找大于10000k的文件find / -name "..." -print 查看文件名是...的文件md5sum -b [文件名]whereis [文件名] 查看文件路径
10. 账号检查:
1. w 查看系统信息
cat /etc/passwd 查看用户信息文件cat /etc/shadow 用户密码的文件less /etc/passwdls -l /etc/passwd 查看修改时间usermod -L [user] 锁定用户【用户存在但不能登录,-U 解锁用户】userdel [user] 删除用户userdel -r [user] 删除用户和他的home
2. 用户登录检查:
last
查看上一次的登录时间数据源: /var/log/wtmp /var/log/btmp
lastb
上次登录失败时候的时间数据源:/var/log/btmp
lastlog
上次用户的登录情况/var/log/lastloglast -x rebook 查看重启记录last -x shutdown 查看关机记录/var/log/lastlog /var/log/secure/var/log/message 存储认证信息,追踪恶意用户登录行为
3. 历史命令:
historyhistory -c 清除历史命令
11. 日志分析:
默认日志/var/log/
more /etc/rsyslog.conf 查看日志情况-----------------------------------------------------
好了,今天就到这里,辛苦大佬观看。
麻烦各位大佬指点,week给大佬趴下了。
原文始发于微信公众号(week网安热爱者):应急响应:Linux
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论