Linux应急响应简介:入侵排查应该这样做 |
您所在的位置:网站首页 › windows日志存放路径 › Linux应急响应简介:入侵排查应该这样做 |
账户安全: 1、用户信息文件/etc/passwd # 格式:账号:密码:UID:GID:GECOS:目录:shell 用户名:密码:用户ID:组ID:用户描述:主目录:登录后的shell根:x:::根:/根:/bin/bash # 查看登录用户: 猫 /etc/passwd | grep /bin/bash 查看 UIDu003d0 的用户awk -F: '$3u003du003d0{print $1}' /etc/passwd 查看sudo权限的用户更多 /etc/sudoers | grep -v "^#|^$" | grep“全部u003d(全部)” 注:无密码只允许本地登录,不允许远程登录 2、影子文件:/etc/shadow # 用户名:加密密码:最后一次密码修改日期:两次密码修改的时间间隔:密码有效期:密码修改过期后的警告天数:密码后的宽限天数过期:账户过期时间:保留 根:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809::99999:7::: 3、查看当前登录用户和登录时长 who #查看当前登录系统的所有用户(tty本地登录,pts远程登录) w # 显示登录系统的用户和正在执行的指令 uptime # 查看登录时间、用户数和负载状态 4、查看用户登录信息 查看最近成功登录的用户和信息 # 显示已登录表示用户仍处于登录状态 pts 表示从 SSH 远程登录 tty 表示从控制台登录,即在服务器旁边登录最后 查看最近登录失败的用户和信息: # SSH 表示从 SSH 远程登录 tty 表示从控制台登录须藤最后一个 显示所有用户的最新登录信息: 最后日志 检查服务器时,黑客不在线。可以使用last命令查看黑客何时登录。有些黑客在登录时会删除或清空/var/log/wtmp文件,所以我们无法使用last命令获取有用信息。 黑客攻击前,必须使用chatr + A 锁定/var/log/wtmp文件,避免被黑客删除 5\。须藤用户列表 /etc/sudoers 入侵检测: # 查询特权用户(uid为0): awk -F: '$3u003du003d0{print $1}' /etc/passwd 查询远程登录的账号信息:awk '/$1|$6/{打印 $1}' /etc/shadow 除root账户以外的其他账户是否有sudo权限。如果不需要管理,普通账户需要删除sudo权限:更多 /etc/sudoers | grep -v "^#|^$" | grep“全部u003d(全部)” 禁用或删除冗余和可疑帐户usermod -L user #禁用账号,账号无法登录,/etc/shadow第二列是!开始 userdel user #删除用户 userdel -r user #user用户会被删除,/home目录下的用户目录也会一起被删除 通过 bash\history 文件查看账户执行的系统命令: 打开每个账户目录下的/home bash_history,查看普通账户执行的历史命令。 为历史命令添加登录IP地址、命令执行时间等信息: # 1. 保存10000条命令: sed -i 's/^HISTSIZEu003d1000/HISTSIZEu003d10000/g' /etc/profile 2.在/etc/profile文件末尾添加如下行号配置信息:用户_IPu003d`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'` 如果 [ "$USER_IP" u003d "" ] 那么 用户_IPu003d`hostname` 菲 导出 HISTTIMEFORMATu003d"%F %T $USER_IP `whoami`" 商店 -s hisstappend 导出 PROMPT_COMMANDu003d"history -a" 3. 使配置生效源 /etc/profile 注:清除历史操作命令:history -c 该操作不会清除文件中保存的记录,需要手动删除bash_profile文件中的记录 检查端口连接: 网络统计-antlp |更多的 使用ps命令分析进程,得到对应的pid号: ps辅助| grep 6666 查看pid对应的进程文件路径: # $pid 是对应的pid号 ls -l /proc/$PID/exe 或文件 /proc/$PID/exe 分析过程: # 根据pid号查看进程 lsof -p 6071 通过服务名查看进程打开的文件lsof -c sshd 按端口号查看进程:lsof -i :22 查看进程的开始时间: 根据pid强制停止进程: 杀死 -9 6071 注意:如果没有发现可疑文件,该文件可能会被删除。这个可疑的进程已被保存到内存中。这是一个记忆过程。这时候就需要找到PID并杀死它 检查启动项: 系统运行层示意图: 查看运行级别命令: 运行级别 引导配置文件: /etc/rc.local /etc/rc.d/rc[0~6].d Linux系统启动时,会运行一些脚本来配置环境——rc脚本。在内核初始化并加载所有模块后,内核启动一个名为 init 或 init d 的守护进程。这个守护进程开始运行 /etc/init D/rc 中的一些脚本。这些脚本包括启动运行 Linux 系统所需的服务的命令 启动时执行脚本有两种方式: 在 /etc/RC 的 local 的 exit 0 语句之间添加启动脚本。脚本必须具有可执行权限 使用 update RC D 命令添加启动执行脚本 1\。编辑修改/etc/rc local 2、update-rc.d:该命令用于安装或删除System-V风格的初始化脚本连接。该脚本存放在/etc/init D/目录下。当然,你可以在这个目录下创建连接文件来连接其他地方存储的脚本文件。 该命令可以指定脚本的执行序号。序号的取值范围是 0-99。序号越大,执行越晚。 当我们需要启动自己的脚本时,只需要将可执行脚本留在/etc/init D目录下,然后在/etc/rc d/rc_中即可。 D文件建立软链接 句法: update-rc.d 脚本名称或服务 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |