Linux應急響應排查

        上一篇文章說到Windows的應急響應排查，本篇文章就來說說Linux的應急響應排查。

        首先，前期互動這部分的内容還是不能少的，畢竟掌握的資訊越多，排查的思路就越清晰。

目錄

Part1 熟悉主機環境

Part2 運作程序排查

Part3 端口開放檢查

Part4 檢查主機服務

Part5 檢查曆史指令

Part6 檢視計劃任務

Part7 檢視制定檔案夾七天内被修改過的檔案

Part8 掃描主機驅動程式

Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰

Part10 日志排查

Part11 登陸排查

Part12 啟動項排查

Part1 熟悉主機環境

• uname -a
• cat /proc/version
• lsb_release -a

首先，先對排查主機的基本資訊有一個了解。

Part2 運作程序排查

首先熟悉一下ps指令的參數：

• ps [選項]
  • -e 顯示所有程序。
  • -f 全格式。
  • -h 不顯示标題。
  • -l 長格式。
  • -w 寬輸出。
  • a 顯示終端上的所有程序，包括其他使用者的程序。
  • r 隻顯示正在運作的程序。
  • u 以使用者為主的格式來顯示程式狀況。
  • x 顯示所有程式，不以終端機來區分。
• ps -ef

• 參數含義：
  • 1.UID 使用者ID
  • 2.PID 程序ID
  • 3.PPID 父程序ID
  • 4.C CPU占用率
  • 5.STIME 開始時間
  • 6.TTY 開始此程序的TTY----終端裝置
  • 7.TIME 此程序運作的總時間
  • 8.CMD 指令名
• ps aux

• 參數含義：
  • USER //使用者名
  • %CPU //程序占用的CPU百分比
  • %MEM //占用記憶體的百分比
  • VSZ //該程序使用的虛拟內存量（KB）
  • RSS //該程序占用的固定內存量（KB）（駐留中頁的數量）
  • STAT //程序的狀态
  • START //該程序被觸發啟動時間
  • TIME //該程序實際使用CPU運作的時間
• top （動态檢視程序）

• pstree（樹形結構顯示程序之間的關系）

通過程序運作的指令、資源占用、位置等來查找可疑程序。查找到可以程序後可以使用ll /proc/[程序pid]來擷取程序運作的路徑。

查找到可以程序後可以使用kill -9 [程序pid]來殺死程序。

• ps -p [pid] -o lstart（檢視程序開放的時間）

• pstree -h [pid] -p -a 檢視某個pid的程序樹

Part3 端口開放檢查

• netstat -antpl（檢視開放端口）

可以通過判斷開放的異常端口來進行排查，或通過state字段來判斷有沒有端口進行網絡連接配接。

• lsof -i（檢視正在進行的網絡連接配接）

• lsof -p [pid]檢視程序PID打開的檔案

• lsof -c [程序名]檢視該程序打開的檔案

• lsof -i:[端口号]檢視該端口對應的程序
• fuser -n tcp [端口号]檢視該端口對應的程序pid

Part4 檢查主機服務

service --status-all（枚舉主機的所有服務）

Part5 檢查曆史指令

• history

• cat ~/.bash_history

Part6 檢視計劃任務

• crontab -l

• cat /etc/anacrontab 檢視異步定時任務
• more /var/log/cron 檢視計劃任務日志
• more /var/spool/cron/*

Part7 檢視制定檔案夾七天内被修改過的檔案

• find /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime +7 | xargs ls -alh

Part8 掃描主機驅動程式

• lsmod

Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰

• ll ~/.ssh

Part10 日志排查

• /var/log/message 包括整體系統資訊
• /var/log/auth.log 包含系統授權資訊，包括使用者登入和使用的權限機制等
• /var/log/userlog 記錄所有等級使用者資訊的日志
• /var/log/cron 記錄crontab指令是否被正确的執行
• /var/log/xferlog(vsftpd.log) 記錄Linux FTP日志
• /var/log/lastlog 記錄登入的使用者，可以使用指令lastlog檢視
• /var/log/secure 記錄大多數應用輸入的賬号與密碼，登入成功與否
• /var/log/wtmp 記錄登入系統成功的賬戶資訊，等同于指令last
• /var/log/faillog 記錄登入系統不成功的賬号資訊，一般會被黑客删除 如果開啟了一些服務，也需要對服務運作的日志進行排查

Part11 登陸排查

• who (檢視目前登入的使用者)

• w(顯示已登陸的使用者，且在執行的指令)

• last (檢視登入成功的使用者)

• lastb(檢視最近登入失敗的使用者)

• lastlog (檢視所有使用者最近登入的時間)

• cat /etc/passwd(檢視使用者資訊)

排查passwd時，注意檢視可登入shell的使用者，即：shell為/bin/bash

• awk -F: '$3==0{print $1}' /etc/passwd #檢視超級使用者(uid=0)

Part12 啟動項排查

• chkconfig --list 列出所有開機啟動項
• 主要排查的啟動項有：
  • /etc/rc.d/rc
  • /etc/rc
  • /etc/rc.local
  • /etc/rc.d/rc.local
  • /etc/rc.d/rc
  • /etc/init/*.conf
  • /etc/rc$runlevel.d/
  • /etc/profile
  • /etc/profile.d/

以上就是本篇文章的全部内容，如有填充，請大家點出。

“D&X 安全實驗室”

專注滲透測試技術

全球最新網絡攻擊技術