Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查 上一篇文章說到Windows的應急響應排查,本篇文章就來說說Linux的應急響應排查。
首先,前期互動這部分的内容還是不能少的,畢竟掌握的資訊越多,排查的思路就越清晰。
目錄
Part1 熟悉主機環境
Part2 運作程序排查
Part3 端口開放檢查
Part4 檢查主機服務
Part5 檢查曆史指令
Part6 檢視計劃任務
Part7 檢視制定檔案夾七天内被修改過的檔案
Part8 掃描主機驅動程式
Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰
Part10 日志排查
Part11 登陸排查
Part12 啟動項排查
Part1 熟悉主機環境
- uname -a
- cat /proc/version
- lsb_release -a
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查 首先,先對排查主機的基本資訊有一個了解。
Part2 運作程序排查
首先熟悉一下ps指令的參數:
- ps [選項]
- -e 顯示所有程序。
- -f 全格式。
- -h 不顯示标題。
- -l 長格式。
- -w 寬輸出。
- a 顯示終端上的所有程序,包括其他使用者的程序。
- r 隻顯示正在運作的程序。
- u 以使用者為主的格式來顯示程式狀況。
- x 顯示所有程式,不以終端機來區分。
- ps -ef
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查 - 參數含義:
- 1.UID 使用者ID
- 2.PID 程序ID
- 3.PPID 父程序ID
- 4.C CPU占用率
- 5.STIME 開始時間
- 6.TTY 開始此程序的TTY----終端裝置
- 7.TIME 此程序運作的總時間
- 8.CMD 指令名
- ps aux
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查 - 參數含義:
- USER //使用者名
- %CPU //程序占用的CPU百分比
- %MEM //占用記憶體的百分比
- VSZ //該程序使用的虛拟內存量(KB)
- RSS //該程序占用的固定內存量(KB)(駐留中頁的數量)
- STAT //程序的狀态
- START //該程序被觸發啟動時間
- TIME //該程序實際使用CPU運作的時間
- top (動态檢視程序)
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查 通過程序運作的指令、資源占用、位置等來查找可疑程序。查找到可以程序後可以使用ll /proc/[程序pid]來擷取程序運作的路徑。
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查 查找到可以程序後可以使用kill -9 [程序pid]來殺死程序。
- ps -p [pid] -o lstart(檢視程序開放的時間)
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查 - pstree -h [pid] -p -a 檢視某個pid的程序樹
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查 Part3 端口開放檢查
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查 可以通過判斷開放的異常端口來進行排查,或通過state字段來判斷有沒有端口進行網絡連接配接。
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查 - lsof -p [pid]檢視程序PID打開的檔案
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查 - lsof -i:[端口号]檢視該端口對應的程序
- fuser -n tcp [端口号]檢視該端口對應的程序pid
Part4 檢查主機服務
service --status-all(枚舉主機的所有服務)
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查 Part5 檢查曆史指令
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查 Part6 檢視計劃任務
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查 - cat /etc/anacrontab 檢視異步定時任務
- more /var/log/cron 檢視計劃任務日志
- more /var/spool/cron/*
Part7 檢視制定檔案夾七天内被修改過的檔案
- find /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime +7 | xargs ls -alh
Part8 掃描主機驅動程式
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查 Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查 Part10 日志排查
- /var/log/message 包括整體系統資訊
- /var/log/auth.log 包含系統授權資訊,包括使用者登入和使用的權限機制等
- /var/log/userlog 記錄所有等級使用者資訊的日志
- /var/log/cron 記錄crontab指令是否被正确的執行
- /var/log/xferlog(vsftpd.log) 記錄Linux FTP日志
- /var/log/lastlog 記錄登入的使用者,可以使用指令lastlog檢視
- /var/log/secure 記錄大多數應用輸入的賬号與密碼,登入成功與否
- /var/log/wtmp 記錄登入系統成功的賬戶資訊,等同于指令last
- /var/log/faillog 記錄登入系統不成功的賬号資訊,一般會被黑客删除 如果開啟了一些服務,也需要對服務運作的日志進行排查
Part11 登陸排查
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查 排查passwd時,注意檢視可登入shell的使用者,即:shell為/bin/bash
- awk -F: '$3==0{print $1}' /etc/passwd #檢視超級使用者(uid=0)
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查 Part12 啟動項排查
- chkconfig --list 列出所有開機啟動項
- 主要排查的啟動項有:
- /etc/rc.d/rc
- /etc/rc
- /etc/rc.local
- /etc/rc.d/rc.local
- /etc/rc.d/rc
- /etc/init/*.conf
- /etc/rc$runlevel.d/
- /etc/profile
- /etc/profile.d/
以上就是本篇文章的全部内容,如有填充,請大家點出。
“D&X 安全實驗室”
專注滲透測試技術
全球最新網絡攻擊技術
Linux應急響應排查Part1 熟悉主機環境Part2 運作程式排查Part3 端口開放檢查Part4 檢查主機服務Part5 檢查曆史指令Part6 檢視計劃任務Part7 檢視制定檔案夾七天内被修改過的檔案Part8 掃描主機驅動程式Part9 檢視攻擊者是否在authorized_keys添加ssh私鑰Part10 日志排查Part11 登陸排查Part12 啟動項排查