應急排查手冊

2022-08-24 09:18:10 字數 2384 閱讀 7143

不管在甲方/乙方,都不可避免的回遇見需要應急的情況,本文記錄了在網上找的一些常用命令,供自己平常查閱,主要從日誌分析、異常連線、異常程序以及歷史命令等幾方面來說,歡迎斧正。

1、除root之外,是否還有其它特權使用者(uid 為0)

awk -f: '$3==0' /etc/passwd

2、可以遠端登入的帳號資訊

awk '/\$1|\$6/' /etc/shadow

3、檢視誰有sudo授權執行許可權(許可權級別)

sudo -l

4、基礎資訊檢視

who 檢視當前登入使用者(tty本地登陸 pts遠端登入) w 檢視系統資訊,想知道某一時刻使用者的行為 uptime 檢視登陸多久、多少使用者,負載

1、root的歷史命令

history

2、歷史命令清除

history -c

但此命令並不會清除儲存在檔案中的記錄,因此需要手動刪除.bash_profile檔案中的記錄。

進入使用者目錄下

cat .bash_history >> history.txt

以下目錄是否存在惡意指令碼

/var/spool/cron/*

/etc/crontab

/etc/cron.d/*

/etc/cron.daily/*

/etc/cron.hourly/*

/etc/cron.monthly/*

/etc/cron.weekly/

/etc/anacrontab

/var/spool/anacron/*

tip:檢視某個目錄下的所有檔案:more /etc/cron.daily/* (檢視/etc/cron.daily/目錄下的所有檔案)

1、netstat網路連線命令,檢視可疑連線

netstat -antlp|more 

!net

lsof -i:80 檢視指定埠

netstat -anp|grep 158.x.x.x 從連線的ip來定位pid,如果是瞬時建立的才找不到

2、檢視pid所對應的程序檔案路徑

執行

ls -l /proc/$pid/exe   比如:ls -l /proc/25430/exe

file /proc/$pid/exe($pid 為對應的pid 號)比如:file /proc/24530/exe

使用ps命令,分析程序

ps aux | grep pid (pid表示要查詢的關鍵字)

1、檢視定時任務

crontab -l 表面上檢視定時任務

cat /etc/crontab 檢視定時任務的檔案裡面是否存在定時任務 

ls -al /var/spool/cron/\* 

cat /var/spool/cron/\* 檢視資料夾裡面是否有其他定時任務的檔案 

ls -al /etc/cron.d/\* 

for u in \`cat /etc/passwd |cut -d ":" -f1\`;do crontab -l -u $u; done

2、刪除定時任務

crontab -r 表面刪除定時任務

3、編輯定時任務

crontab -e

定時任務解讀: 

前面5個星分別代表分-時-天-月-星期 後面跟命令 

\* \* \* \* \* command 

\*/15 \* \* \* \* command(表示每15分鐘執行一次)

1、結束程序

kill pid 

kill -9 pid 徹底殺死程序 

kill -kill pid 強制殺死程序

2、檢視程序

ps -a 列出的是當前控制終端啟動的程序 

ps -a 系統全部啟動程序 

ps auxf 檢視父程序關聯的子程序 

pstree 檢視程序樹

3、檢視ssh金鑰

cat .ssh/authorized_keys 檢視命令 

/root/.ssh/authorized_keys ssh秘鑰檔案所在路徑

windows應急響應入侵排查思路

當企業發生黑客入侵 系統崩潰或其它影響業務正常執行的安全事件時,急需第一時間進行處理,使企業的網路資訊系統在最短時間內恢復正常工作,進一步查詢入侵 還原入侵事故過程,同時給出解決方案與防範措施,為企業挽回或減少經濟損失。常見的應急響應事件分類 web入侵 網頁掛馬 主頁篡改 webshell 系統入...

應急CC攻擊排查(Linux環境)

cc攻擊就是利用大量 伺服器對目標計算機發起大量連線,導致目標伺服器資源枯竭造成拒絕服務。那麼如何判斷查詢cc攻擊呢?本文主要介紹了一些linux下判斷cc攻擊的命令。檢視所有80埠的連線數 netstat nat grep i 80 wc l 對連線的ip按連線數量進行排序 netstat anp...

應急響應之window入侵排查

當企業發生黑客入侵 系統崩潰或其它影響業務正常執行的安全事件時,急需第一時間進行處理,使企業的網路資訊系統在最短時間內恢復正常工作,進一步查詢入侵 還原入侵事故過程,同時給出解決方案與防範措施,為企業挽回或減少經濟損失。常見的應急響應事件分類 web入侵 網頁掛馬 主頁篡改 webshell 系統入...