Linux入侵排查

2021-10-20 00:27:43 字數 2447 閱讀 1884

賬號安全

必看檔案

/etc/passwd

/etc/shadow

必會命令:who,w,uptime,usermod,userdel

入侵排查

查詢特權使用者:awk -f: 『$3==0』 /etc/passwd

查詢可以遠端登入的賬號:awk 『/$1|$6/' at position 2: 1}̲』 /etc/shadow 查…」 grep 「all=(all)」

歷史命令

必會命令:history

入侵排查:cat .bash_history >>history.txt

檢查異常埠

netstat -antlp

檢查異常程序

ps aux

檢查開機啟動項

more /etc/rc.local

/etc/rc.d/rc[0-6].d

ls -l /etc/rc.d/rc3.d/

檢查定時任務

檢查以下目錄下是否有可疑檔案

/var/spool/cron/*

/etc/crontab

/etc/cron.d/*

/etc/cron.daily/*

/etc/cron.hourly/*

/etc/cron.monthly/*

/etc/cron.weekly/

/etc/anacrontab

/var/spool/anacron/*

/etc/cron.daily/*

檢查服務

chkconfig

修改/etc/re.d/rc.local檔案,加入/etc/init.d/httpd start

使用nesysv命令管理自啟動

檢查異常檔案

檢視敏感目錄,如tmp目錄下的檔案,同時注意隱藏資料夾,以」…」為名的資料夾具有隱藏屬性

檢查系統日誌

日誌預設存放位置:/var/log

日誌分析技巧

1、定位有多少ip在爆破主機的root帳號:

grep 「failed password for root」 /var/log/secure | awk 『' at position 3: 11}̲' | sort | uniq…_=<>)』|uniq -c|sort -nr

2、登入成功的ip有哪些:

grep "accepted " /var/log/secure | awk 『』 | sort | uniq -c | sort -nr | more

登入成功的日期、使用者名稱、ip:

grep "accepted " /var/log/secure | awk 『』

3、增加乙個使用者kali日誌:

jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, gid=1001

jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, uid=1001, gid=1001, home=/home/kali

, shell=/bin/bash

jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali

#grep 「useradd」 /var/log/secure

4、刪除使用者kali日誌:

jul 10 00:14:17 localhost userdel[2393]: delete user 『kali』

jul 10 00:14:17 localhost userdel[2393]: removed group 『kali』 owned by 『kali』

jul 10 00:14:17 localhost userdel[2393]: removed shadow group 『kali』 owned by 『kali』

#grep 「userdel」 /var/log/secure

5、su切換使用者:

jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)

sudo授權執行:

sudo -l

jul 10 00:43:09 localhost sudo: good : tty=pts/4 ; pwd=/home/good ; user=root ; command=/sbin/shutdown -r now

Linux入侵問題排查

1.1.1 檢查伺服器系統及應用賬戶是否存在弱口令 解決方法 以管理員許可權登入系統或應用程式後台,修改為複雜的密碼 風險性 高 1.1.2 使用 last 命令檢視下伺服器近期登入的賬戶記錄,確認是否有可疑ip登入過機器 1.1.3 通過 less var log secure grep acce...

Windows 入侵排查

當企業發生黑客入侵 系統崩潰或其它影響業務正常執行的安全事件時,急需第一時間進行處理,使企業的網路資訊系統在最短時間內恢復正常工作,進一步查詢入侵 還原入侵事故過程,同時給出解決方案與防範措施,為企業挽回或減少經濟損失。常見的應急響應事件分類 web 入侵 網頁掛馬 主頁篡改 webshell 系統...

Windows入侵問題排查

1 檢視伺服器已有系統或應用帳戶是否存在弱口令 檢查方法 根據實際情況自行確認。風險性 高 2 檢視下伺服器內是否有非系統和使用者本身建立的帳戶 3 檢查是否存在隱藏帳戶名 1 檢查是否存在惡意程序在系統後台執行 1 檢查伺服器內部是否有異常的啟動項 2 檢視正在連線的會話 1 如果您伺服器內有執行...