linux應急響應

2022-05-25 00:48:11 字數 2930 閱讀 1858

linux常用命令

常見日誌的位置以及分析方法

熟悉常規黑客的攻擊手法

常規安全事件的處置思路

根目錄下所有.jsp字尾檔案

find / -name *.jsp
最近3天修改過的檔案

find -type f -mtime -3
最近3天建立的檔案

find -type f -ctime -3
grep -nv 'root' /etc/passwd
檢視根目錄下 含有root資訊的檔案,並標註行號

grep -nr root /
檢視根目錄下字尾為.jsp .jspx檔案,並從大到小排列

grep -nr -v "404" ./ | grep -e "\.jsp | \.jspx" | more
顯示檔案前十行

head /etc/passwd
實時展示檔案內容

tail -f 檔名
awk的f引數是指定分隔符,print $1意思是列印第一列,sort命令是用來排序的,uniq命令是用來把相鄰的重複資料聚合到一起,加個c引數意思就是把重複次數統計出來,為什麼先要用sort聚合一次呢,就是因為uniq命令只會聚合相鄰的重複資料,最後那個sort命令剛才說了是用於排序的,他的n引數是以數字排序,r引數是倒敘排序

awk -f " " '' access.log| sort|uniq -c|sort -nr

檢視某個使用者啟動了什麼程序

lsof -u root
某個埠是哪個程序開啟的

lsof -i:8080
登入失敗記錄:/var/log/btmp

lastb
最後一次登入:/var/log/lastlog

lastlog
登入成功記錄: /var/log/wtmp

last
檢視計畫任務是否有惡意指令碼或者惡意命令

crontab -l
a引數是列出所有連線,n是不要解析機器名,p列出程序名

netstat -anp
檢視程序資訊

ps -ef

ps -aux

檢視程序cpu佔比(動態任務,可實時檢視最高cpu占有率)

top
檢視某個檔案是否被修改過

stat
last檢視成功登陸的ip(用於檢視登陸成功資訊)

登陸使用者---連線方式---時間

安全日誌 /var/log/secure

作用:安全日誌secure包含驗證和授權方面資訊

分析:是否有ip爆破成功

使用者資訊 /etc/passwd

內容含義:註冊名、口令、使用者標識號、組標識號、使用者名稱、使用者主目錄、命令解釋程式

分析:是否存在攻擊者建立的惡意使用者

命令執行記錄 ~/.bash_history

作用:命令執行記錄 ~/.bash_history

分析:是否有賬戶執行過惡意作業系統命令

root郵箱 /var/spool/mail/root

中介軟體日誌(web日誌access_log)

nginx、apache、tomcat、jboss、weblogic、websphere

作用:記錄訪問資訊

分析:請求次數過大,訪問敏感路徑的ip

位置:/var/log下 access.log檔案(apache預設位置)

位置:/var/log/nginx下 access名稱日誌(nginx日誌位置)

位置:tomcat、weblogic等日誌均存放在安裝路徑下logs檔案下

訪問日誌結構:訪問ip---時間---請求方式---請求路徑---請求協議----請求狀態---位元組數

登陸日誌(可直接使用命令調取該資訊,對應命令last/lastb)

位置:/var/log/wtmp #成功連線的ip資訊

位置:/var/log/btmp #連線失敗的ip資訊

cron(定製任務日誌)日誌

位置:/var/log/cron

作用:檢視歷史計畫任務(對該檔案進行分析調取惡意病毒執行的計畫任務,獲取準確時間)

history日誌

位置:~/.bash_history

作用:操作命令記錄,可篩查攻擊者執行命令資訊

其他日誌

redis、sql server、mysql、oracle等

作用:記錄訪問資訊

分析:敏感操作

找到webshell-->確定攻擊者ip-->回溯攻擊者操作-->梳理整個攻擊過程

1、檔案內容中的惡意函式

php:eval(、system(、assert(

jsp:getruntime(、 fileoutputstream(

asp:eval(、execute(、 executeglobal(

2、web日誌中的webshell特徵

darkblade:goaction=login

jspspy:o=login

phpspy:action=phpinfo

regeorg:cmd=connect

other:cmd=

3、貼合web業務中的url來分析web日誌

4、每天新增的動態指令碼檔案

5、低頻訪問的指令碼檔案

Linux應急響應

檢視登入歷史記錄 last aulast 檢視所有 戶的最後登入記錄 aulastlog 檢視命令歷史記錄 history cat bash history 檢視當前可登入的 戶列表 cat etc passwd grep v s grep e v sbin nologin bin sync sbi...

Linux 應急響應基礎

0x01 技能樹 0x02 linux 常用命令 find name jsp find type f mtime 3 find type f ctime 3 grep nv root etc passwd grep nr root grep nr v 404 grep e jsp jspx more...

Linux應急響應基礎

伺服器被攻擊,或多或少都會有相對應的症狀,例如 挖礦病毒,cpu利用率公升高,記憶體佔用率增加,出現異常程序,伺服器響應速度變慢等等。根據病毒傳播傳播途徑,對系統進行加固,防止再次感染。通過.bash history檢視帳號執行過的系統命令 root的歷史命令 histroy 開啟 home各帳號目...