应急事件检测 入门篇 |
您所在的位置:网站首页 › linux看网络信息 › 应急事件检测 入门篇 |
一、系统用户信息收集
确定系统中是否有一个看起来可疑的用户 Cat/etc/passwd 查看用户密码信息,且只有root用户可以查看。 cat /etc/shadow 查看用户组信息 cat/etc/group 快速定位sudo组 查看当前登录系统用户信息 whoami w who netstat -pantu 查看网络状态 启动ssh服务。 使用ssh 127.0.0.1 登录。 last //查看登录记录 lastb //查看登录日志记录 二、linux系统文件信息收集 ls -alh 查看当前路径下的文件信息 识别系统中任何过大的文件及其权限 find /home/ -type f -size +512k -exec ls -lh {} \; //查看home目录下文件大于512k的文件信息 找到所有SUID的文件find / -perm -u=s -type f 2>/dev/null 查找用户有su权限的文件目录。 find命令suid提权which find //查看文件路径 chmod u+s /usr/bin/find 给用户添加s的权限 ls -la /usr/bin/find 查看find的权限 使用之前的命令,发现他已经被添加到suid文件中。 find / -perm -u=s -type f 2>/dev/null find . -exec “whoami” \; 查看文件权限,权限为root用户的权限 创建test文件,查看test的文件权限. 三、系统资源信息 查看服务器已经运行了多长时间、系统中的当前时间、当前登录了多少用户以及系统的平均负载uptime 查看Linux中系统的内存使用情况,系统中使用的物理内存和交换内存,以及内核使用的缓冲区free 检查系统上是否存在未知的挂载cat /proc/mounts 四、服务信息 service —status-all //获取当前系统所有服务信息 +开启 -关闭 cat /etc/crontab 查看计划任务的信息 筛选开启的服务 more /etc/resolv.conf 查看DNS服务的ip地址 more /etc/hosts 查看 iptables -L -n 查看防火墙规则 五、网络信息收集 arp指令用来管理系统的arp缓冲区,可以显示、删除、添加静态mac地址。arp -vn 添加静态映射arp -i eth0 -s IP地址 MAC地址 显示网络连接信息netstat -pantu IP地址信息查看ifconfig ip a六、应急响应流程 01应急响应取证 定义:计算机调查取证,是法医学下的一个分支,与法医相似,计算机调查取证是有关从计算机中获取电子证据并加以分析的过程。使调查的结果能够经受法庭的检查。 02应急响应根除 方法: 利用杀毒软件、杀毒脚本、手工查杀等方式彻底消除病毒,并检测整个网络系统,以确保不要留下后门。 针对不同操作系统,使用打补丁、修改安全配置和增加系统带宽的方式,降低安全风险。 03应急响应恢复 方法: 利用备份文件恢复用户数据和配置信息 将受到入侵和可能存储漏洞的服务关闭,修改后重启服务 连接网络,恢复业务,持续监控并进行汇总分析 04应急响应报告 方法: 1、事情经过 2、事件成因 3、评估事件影响 4、采取措施 5、事后系统定级、备案、测评等情况总结: 本文主要从完整的Linux的应急响应过程出发,主要包括系统用户信息收集、linux系统文件信息收集、系统资源信息、服务信息、网络信息收集,最后梳理整个应急响应流程。 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |