Linux应急响应

账号安全

先查看基础用户信息文件(/etc/passwd,/etc/shadow,/etc/group)

1、查询特权用户特权用户(uid 为0)
awk -F: '$3==0{print $1}' /etc/passwd

2、查询可以远程登录的帐号信息
awk '/\$1|\$6/{print $1}' /etc/shadow

3、除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限
more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

4、禁用或删除多余及可疑的帐号
usermod -L user    #禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头
userdel -r user    #将删除user用户,并且将/home目录下的user目录一并删除

查看历史命令

cat ~/bash_history >> history.txt

检查网络连接

netstat -antlp|more

#查看 PID 所对应的进程文件路径
file /proc/$PID/exe

检查异常进程

ps aux | grep pid

检查开机启动项

系统运行级别示意图:

运行级别 含义
0 关机
1 单用户模式,可以想象为windows的安全模式,主要用于系统修复
2 不完全的命令行模式,不含NFS服务
3 完全的命令行模式,就是标准字符界面
4 系统保留
5 图形模式
6 重启动
#系统默认允许级别
vi /etc/inittab
id=3:initdefault  #系统开机后直接进入哪个运行级别

当我们需要开机启动自己的脚本时,只需要将可执行脚本丢在/etc/init.d目录下,然后在/etc/rc.d/rc*.d中建立软链接即可

ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100ssh  
#S开头代表加载时自启动

检查定时任务

ls -al /var/spool/cron/* 
cat /etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/

#查看目录下所有文件
more /etc/cron.d/*

/etc/anacrontab
/var/spool/anacron/*

anacrontab是啥(opens new window)

检查服务

chkconfig  --list  #查看服务自启动状态,可以看到所有的RPM包安装的服务

#源码包安装的服务位置
/user/local/

检查异常文件

1、查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以“..”为名的文件夹具有隐藏属性

2、针对可疑文件可以使用stat查看创建修改时间

3、发现WebShell、远控木马的创建时间

如何找出同一时间范围内创建的文件?

find ./ -iname "*" -atime 1 -type f 
#找出 ./ 下一天前访问过的文件

检查系统日志

日志默认存放位置:/var/log/

查看日志配置情况:more /etc/rsyslog.conf

日志文件 说明
/var/log/cron 记录系统定时任务相关的日志
/var/log/message 记录Linux操作系统常见的系统和服务错误信息(首要检查对象)
/var/log/btmp 记录错误登录(登陆失败)*日志;使用*lastb命令查看
/var/log/lastlog 记录系统中所有用户最后一次成功登录时间,使用lastlog命令查看
/var/log/wtmp 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件;用last命令来查看
/var/log/utmp 只记录当前登录用户的信息;使用w,who,users等命令来查询
/var/log/secure 记录验证和授权方面的信息,如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码
#查询ssh登录记录
more /var/log/secure

#安装软件的日志-> Centos
/var/log/yum.log
#安装软件的日志-> Ubuntu
/var/log/apt/

/var/log/syslog:只记录警告信息,常常是系统出问题的信息;

syslog是Linux系统默认的日志守护进程

默认的syslog配置文件是/etc/sysctl.conf文件

syslog不可以使用vi等工具直接查看,它是二进制文件,使用 lastlog 查看

默认Centos,Fedora不生成该日志文件,但可以配置让系统生成该日志文件

/etc/rsyslog.conf`文件中加上:`*.warning /var/log/syslog

该日志文件能记录当用户登录时login记录下的错误口令、Sendmail的问题、su命令执行失败等信息

正确清空syslog日志的方式

cat /dev/null > /etc/init.d/syslog

本文转载自:https://wiki.wgpsec.org/knowledge/hw/linux-emergency-response.html

温馨提示:一切未经授权的渗透测试行为均为违法行为。
© 版权声明
THE END
喜欢就支持一下吧
点赞5 分享