江苏龙网

  1. 主页 > 生活百科 > >

Linux 应急响应入门:入侵排查应该这样做( 三 )

入侵排查

搜索/etc/rc.d/init.d/ 查看是否存在异常文件检查:
按照三种方式查找修改的文件:

  • 按照名称
  • 依据文件大小
  • 按照时间查找
  • 根据名称查找文件
 find / -name a.Test# 如果文件名记不全,可使用通配符*来补全# 如果不区分大小写,可以将-name 替换为-iname
  • 依据文件大小查找:
 find / -size +1000M# +1000M表示大于1000M的文件,-10M代表小于10M的文件
  • 依据时间查找:
 # -atime 文件的访问时间# -mtime 文件内容修改时间# -ctime 文件状态修改时间(文件权限,所有者/组,文件大小等,当然文件内容发生改变,ctime也会随着改变)# 要注意:系统进程/脚本访问文件,atime/mtime/ctime也会跟着修改,不一定是人为的修改才会被记录# 查找最近一天以内修改的文件:find / -mtime -1 -ls | more # 查找50天前修改的文件:find ./ -mtime +50 -ls
  • 根据属主和属组查找:
 -user 根据属主查找-group 根据属组查找-nouser 查找没有属主的文件-nogroup 查找没有属组的文件# 查看属主是root的文件find ./ -user root -type f# -type f表示查找文件,-type d表示查找目录# 注意:系统中没有属主或者没有属组的文件或目录,也容易造成安全隐患,建议删除 。
  • 按照CPU使用率从高到低排序:
 ps -ef --sort -pcpu
  • 按照内存使用率从高到低排序:
 ps -ef --sort -pmem补充:
1、查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以“..”为名的文件夹具有隐藏属性 。
2、得到发现WEBSHELL、远控木马的创建时间,如何找出同一时间范围内创建的文件?
可以使用find命令来查找,如find /opt -iname “*” -atime 1 -type f 找出 /opt 下一天前访问过的文件 。
3、针对可疑文件可以使用 stat 进行创建修改时间 。
系统日志检查:
日志默认存放位置:/var/log/
必看日志:securehistory
查看日志配置情况:more /etc/rsyslog.conf
 /var/log/wtmp 登录进入,退出,数据交换、关机和重启纪录/var/log/lastlog 文件记录用户最后登录的信息,可用 lastlog 命令来查看 。/var/log/secure 记录登入系统存取数据的文件,例如 pop3/ssh/telnet/ftp 等都会被记录 。/var/log/cron 与定时任务相关的日志信息/var/log/message 系统启动后的信息和错误日志/var/log/Apache2/access.log apache access log
Linux 应急响应入门:入侵排查应该这样做

文章插图
日志分析技巧:
 1、定位有多少IP在爆破主机的root帐号:grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more定位有哪些IP在爆破:grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c爆破用户名字典是什么?grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1n";}'|uniq -c|sort -nr2、登录成功的IP有哪些:grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more登录成功的日期、用户名、IP:grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' 3、增加一个用户kali日志:Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali, shell=/bin/bashJul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali#grep "useradd" /var/log/secure 4、删除用户kali日志:Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'


推荐阅读


上一篇:数据库:我都快爆了,你为什么还不分库分表?

下一篇:一秒批量删除Excel表格中间的40000行数据,我用名称搞定