應急響應學習筆記

2021-09-24 09:39:42 字數 2037 閱讀 8966

web日誌存在位置

apache日誌

windows: /var/log/boot.log(自檢過程)

/var/log/cron (crontab守護程序crond所派生的子程序的動作)

/var/log/maillog (傳送到系統或從系統發出的電子郵件的活動)

/var/log/syslog (它只記錄警告資訊,常常是系統出問題的資訊,所以更應該關注該檔案)

要讓系統生成syslog日誌檔案,

在/etc/syslog.conf檔案中加上:*.warning /var/log/syslog

該日誌檔案能記錄當使用者登入時login記錄下的錯誤口令、sendmail的問題、su命令執行失敗等資訊

/var/run/utmp 該日誌檔案需要使用lastlog命令檢視

/var/log/wtmp (該日誌檔案永久記錄每個使用者登入、登出及系統的啟動、停機的事件) last命令就通過訪問這個檔案獲得這些資訊

/var/run/utmp (該日誌檔案記錄有關當前登入的每個使用者的資訊)

/var/log/xferlog (該日誌檔案記錄ftp會話,可以顯示出使用者向ftp伺服器或從伺服器拷貝了什麼檔案)

webshell手工確認(linux):

find /var/www/ -perm -010 -type d -user www-data具有寫入許可權的目錄

-perm《許可權數值》:查詢符合指定的許可權數值的檔案或目錄;

-typ《檔案型別》:只尋找符合指定的檔案型別的檔案;f 普通檔案 d目錄

最近30天內被訪問過的指令碼檔案

find /var/www/jcsweb/*.php -type f -atime -30

常用命令:(查詢指定修改時間的指令碼檔案) linux檔案系統每個檔案都有三種時間戳:

訪問時間(-atime/天,-amin/分鐘):使用者最近一次訪問時間。

修改時間(-mtime/天,-mmin/分鐘):檔案最後一次修改時間。

變化時間(-ctime/天,-cmin/分鐘):檔案資料元(例如許可權等)最後一次修改時間。stat /var/www/jcsweb

檢視檔案或目錄的時間戳

windows

c:\boot.ini //檢視系統版本

c:\windows\system32\inetsrv\metabase.xml //iis配置檔案

c:\windows\repair\sam //儲存系統初次安裝的密碼

c:\program files\mysql\my.ini //mysql配置

c:\program files\mysql\data\mysql\user.myd //mysql root

c:\windows\php.ini //php配置資訊

c:\windows\my.ini //mysql配置資訊

c:\windows\win.ini //windows系統的乙個基本系統配置檔案

linux

/root/.ssh/authorized_keys

/root/.ssh/id_rsa

/root/.ssh/id_ras.keystore

/root/.ssh/known_hosts //記錄每個訪問計算機使用者的公鑰

/etc/passwd

/etc/shadow

/etc/my.cnf //mysql配置檔案

/etc/httpd/conf/httpd.conf //apache配置檔案

/root/.bash_history //使用者歷史命令記錄檔案

/root/.mysql_history //mysql歷史命令記錄檔案

/proc/mounts //記錄系統掛載裝置

/porc/config.gz //核心配置檔案

/var/lib/mlocate/mlocate.db //全檔案路徑

/porc/self/cmdline //當前程序的cmdline引數

應急響應實戰筆記

面對各種各樣的安全事件,我們該怎麼處理?這是乙個關於安全事件應急響應的專案,從系統入侵到事件處理,收集和整理了一些案例進行分析。我將持續更新這份筆記,希望能幫到有需要的人。如果你看到好的案例,歡迎通過issue提交。第二章 日誌分析 第三章 windows實戰篇 第四章 linux實戰篇 第五章 w...

應急響應實戰筆記(續)

在上週,我發布了乙個專案,我把它叫做應急響應實戰筆記,收集和彙總了一些我經手處理的應急響應案例。這個專案,也收到了不少童鞋的反饋,其中有一位讓我印象深刻,第一次收到如此認真的反饋 關於這份筆記,我將持續更新,希望能給那些從事安全 運維的童鞋帶來一些幫助,同時,希望小夥伴提供一些案例,你說案例我來寫。...

Linux應急響應

檢視登入歷史記錄 last aulast 檢視所有 戶的最後登入記錄 aulastlog 檢視命令歷史記錄 history cat bash history 檢視當前可登入的 戶列表 cat etc passwd grep v s grep e v sbin nologin bin sync sbi...