Linux入侵应急响应与排查

news2024/11/15 19:41:41

入侵者在入侵成功后,往往会留下后门以便再次访问被入侵的系统, 而创建系统账号是一种比较常见的后门方式。

查询特权用户特权用户(uid 为0)

awk -F: '$3==0{print $1}' /etc/passwd

查找远程可以登录的账户

awk '/\$1|\$5|\$6/{print $1}' /etc/shadow

$1:MD5(长度 22个字符)

$5:SHA-256(长度 43 个字符)

$6:SHA-512(长度86 个字符)

检查sudo权限

cat /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL"

删除或锁定账号

通过上面的步骤可以找到可疑的账号

usermod -L rooot #禁用帐号,帐号无法登录
userdel rooot    #删除user用户
userdel -r rooot #将删除root用户,并且将/home目录下的root目录一并删除

查看当前登录系统的信息

who    #查看当前登录用户(tty本地登陆  pts远程登录)
w      #查看系统信息,想知道某一时刻用户的行为
uptime #查看登陆多久、多少用户,负载

检查异常端口

使用netstat 网络连接命令,分析可疑端口、IP、PID等信息。

netstat -tunlp | less

抓包分析

tcpdump -c 10 -q #精简模式显示 10个包

使用ps命令检查可疑的进程

ps -ef

查超系统中占用资源最高的资源

top

发现异常进一步检查

ps eho command -p $PID  #查看该进程启动的完整命令行
readlink /proc/$PID/cwd #查看该进程启动时候所在的目录
ls -l /proc/$PID/exe    #查看下pid所对应的进程文件路径
strings -f /proc/$PID/environ | cut -f2 -d '' #查看该进程启动时的完整环境变量:
lsof -p $PID #列出该进程所打开的所有文件

检查系统服务

Linux系统服务管理,CentOS7使用systemd控制 CentOS6之前使用chkconfig控制。 查看正在运行的服务 service --status-all | grep running

检查开机自启的服务

对于systemd服务管理器来说,可以通过下述方式查看开机自启的服务

systemctl list-unit-files --type=service | grep "enabled"

chkconfig就是CentOS6以前用来控制系统服务的工具,查看服务自启动状态

chkconfig --list | grep "3:on\|5:on"

检查启动项脚本

命令查看下开机启动项中是否有异常的启动服务。

cat /etc/rc.local

检查计划任务

利用计划任务进行权限维持,可作为一种持久性机制被入侵者利用。检查异常的计划任务,需要重点关注以下目录中是否存在恶意脚本。

/var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*

检查系统的异常文件

查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以.为名的文件夹具有隐藏属性

ls -al

查找1天以内被访问过的文件

find /opt -iname "*" -atime 1 -type f

-iname不区分大小写,-atime最近一次被访问的时间,-type文件类型

检查历史命令

查看被入侵后,在系统上执行过哪些命令,使用root用户登录系统,检查/home目录下的用户主目录的.bash_history文件

默认情况下,系统可以保存1000条的历史命令,并不记录命令执行的时间,根据需要进行安全加固。

检查系统日志

在Linux上一般跟系统相关的日志默认都会放到/var/log下面,
若是一旦出现问题,用户就可以通过查看日志来迅速定位,
及时解决问题。常用日志文件如下:

/var/log/btmp

记录错误登录日志,这个文件是二进制文件,不能用vi直接查看,可以用lastb看

/var/log/lastlog

记录系统中所有用户最后一次成功登录系统的时间,这是一个二进制文件,不能用vi查看,可以用lastlog查看

/var/log/wtmp

永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。
同样这个文件也是一个二进制文件,不能直接vi,而需要使用last命令来查看。

/var/log/utmp

记录当前已经登录的用户信息,这个文件会随着用户的登录和注销不断变化
只记录当前登录用户的信息。
同样这个文件不能直接vi, 而要使用w,who,users等命令来查询。

/var/log/secure

记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录
比如SSH登录,su切换用户,sudo授权, 甚至添加用户和修改用户密码都会记录在这个日志文件中

数据库日志

在数据泄漏方面,mysql或者其他数据库的日志就非常重要了,首先查看mysql配置文件配置了哪几种日志记录,如bin log,query log慢查询日志,慢查询日志要在超过特定阀值,才会触发

登陆mysql执行,查看是否开启日志记录

show variables like'%general%';
show variables like'slow_query%';

查看相关的日志

1659948923_62f0cf7b32ef3ea3caf7a.png!small?1659948923776

Mysql慢查询日志分析工具mysqldumpslow,使用方法如下

mysql慢查询分析工具_mysql慢查询日志分析工具-CSDN博客

查找登录系统失败的20个账号

lastb | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 20

查看哪些IP在爆破

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

查看哪些IP登录成功了

grep "Accepted" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

登录成功的日期,用户名,IP

gerp "Accepted" /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

webshell排查

D盾查杀

使用自行研发不分扩展名的代码分析引擎,能分析更为隐藏的 WebShell 后门行为。

兼容性:只提供 Windows 版本。

工具下载地址:http://www.d99net.net

河马查杀

专注 WebShell 查杀研究,拥有海量 WebShell 样本和自主查杀技术,采用传统特征+云端大数据双引擎的查杀技术。查杀速度快、精度高、误报低。

兼容性:支持 Windows、Linux,支持在线查杀。

官方网站:https://www.shellpub.com 

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取 

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)

同时每个成长路线对应的板块都有配套的视频提供: 

大厂面试题

视频配套资料&国内外网安书籍、文档

当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料

 所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~ 

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)

特别声明:

此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1702279.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

仿真APP在微波加热仿真分析中的应用

一、背景介绍 微波炉是一种常用的食物加热工具,主要是由腔室、磁控管、波导管三个部分组成。在工作过程中,磁控管产生波长约为12.2cm的微波(对应频率2.45GHz),通过波导管注入腔室内,在腔室内产生振荡的磁场…

echarts取消纵坐标,自定义提示内容,完整 echarts 布局代码

效果图 实现代码 开启点击柱子时的提示内容 //完整写法请看下面tooltip: {trigger: axis,axisPointer: {type: shadow}},自定义提示内容 //完整写法请看下面formatter: function (param) {// param是悬浮窗所在的数据(x、y轴数据)let relVal "&…

【LeeCode算法】第67题:二进制求和

目录 一、题目描述 二、初次解答 三、官方解法 四、总结 一、题目描述 二、初次解答 1. 思路:将a和b两个字符串转换成十进制,然后将相加的结果转换回文本的二进制。 2. 代码: char* addBinary(char* a, char* b) {int a_len strlen(a);i…

P3-P6容器之分类与各种测试

序列容器 关联式容器 这里讲到的哈希碰撞,是两个元素的存放位置冲突,用链表进行处理;同时hashtable的链表不能太长 以下测试程序之辅助函数 一、序列容器 array vector vector容量是两倍增长, 当添加元素之后,容…

什么样的跨网文件交换系统适合车企行业?

对于汽车行业而言,随着市场的全球化,产品和数据的跨网流通已成为常态。在这个过程中,跨网文件交换系统成为了连接全球供应链、加速产品开发周期、确保数据安全的不可或缺的桥梁。但什么样的系统才能真正满足车企的严苛要求呢?让我…

阿里通义千问大模型AI接入火车头自动生成内容插件

插件特点: 可以根据采集的关键词,自动生成文章可自定义提示词 也可以分析标题重写一个标题2个提问标签 如有需要可自由增加对话标签自己可以设置TXT关键词导入,自动采集生成 安装说明: 1.需要python环境 ,具体可以…

【CSDN独家公开】Python解析.SchDoc格式文件转换为json文件

前情提要 因工作需求,需要解析.SchDoc格式文件,提取文本和位置关系,通常方式是转换为图片或PDF,再进行OCR,但是这样识别精度太低了 Github找了好些项目,都不支持 PyAltium不支持 https://github.com/plu…

docker安装应用

软件安装步骤可以在docker的官网查找: https://hub.docker.com/1.安装tomcat 这里演示用的最新版,版本是10.0.14 1.拉取镜像 docker pull tomcat 直接下载最新版 [rootlocalhost ~]# docker pull tomcat Using default tag: latest latest: Pulling f…

Discuz!X3.4论坛网站公安备案号怎样放到网站底部?

Discuz!网站的工信部备案号都知道在后台——全局——站点信息——网站备案信息代码填写,那公安备案号要添加在哪里呢?并没有看到公安备案号填写栏,今天驰网飞飞和你分享 1)工信部备案号和公安备案号统一填写到网站备案…

8. C++通过epoll+fork的方式实现高性能网络服务器

epollfork 实现高性能网络服务器 一般在服务器上,CPU是多核的,上述epoll实现方式只使用了其中的一个核,造成了资源的大量浪费。因此我们可以将epoll和fork结合来实现更高性能的网络服务器。 创建子进程函数–fork( ) 要了解线程我们先来了解…

2024新数据库入门教程

1.官网下载MySQL 下载Mysql链接: 点击下载mysql 下载完成后解压到某一个文件夹(记住这个路径,一会要用到) 2.配置初始化文件my.ini 在根目录下创建一个txt文件,名字叫my,文件后缀为ini 以下代码除安装目录和数…

C字符串和内存函数介绍(一)——长度不固定的字符串函数

前面我们一起学习了strlen,strcpy,strcmp,strcat的使用以及它们的模拟实现,它们的特点是你传参的时候,传过去的是数组首元素的地址,然后无论是计算长度,实现拷贝,相互比较还是进行追…

GIS 交通线网可视化:优化城市交通管理与规划

图扑 GIS 交通线网可视化可帮助城市规划和交通管理部门做出更精准的决策,提升出行效率和城市整体交通秩序。

从零入门激光SLAM(二十一)——FAST-LIO2论文解析

FAST-LIO2: Fast Direct LiDAR-Inertial Odometry 论文地址:https://ieeexplore.ieee.org/stamp/stamp.jsp?tp&arnumber9697912 代码:https://github.com/hku-mars/FAST_LIO 一、文章概述 1.问题导向 基于视觉传感器的高分辨率和高精度的实时密…

金锋关晓柔短视频:成都鼎茂宏升文化传媒公司

金锋关晓柔短视频:情感与创意的交织 在短视频的浪潮中,无数创作者凭借独特的视角和创意脱颖而出。其中,金锋和关晓柔共同打造的短视频系列以其深厚的情感内涵和精湛的创意表达,成都鼎茂宏升文化传媒公司吸引了大量观众的关注&…

zabbix自定义监控项

文章目录 1、配置conf文件(zabbix_agent2)linuxwindows 2、配置监控项3、配置触发器4、查看监控数据 示例自定义程序 hash_tool:输出指定目录的哈希值 调用指令: hash_tool --path [指定目录] 1、配置conf文件(zabbix_agent2) linux vim /etc/zabbix/z…

液氢产业化进程提速 液氢装备检测市场需求空间广阔

液氢产业化进程提速 液氢装备检测市场需求空间广阔 液氢装备检测试验项目涉及到火烧试验、置换试验、振动试验、燃烧实验、高压氢循环试验、预冷试验、液氢阀门检测试验等。检测试验是推动氢能技术自主化、高质量发展的重要步骤,近年来,随着液氢应用场景…

工博科技联手伯尼纳,共谋食品包装外贸行业新市场,助力全球市场拓展!

4月11日,伯尼纳贸易(江苏)有限公司(以下简称“伯尼纳”)SAP项目正式启动,双方项目组成员在福建厦门出席本次项目启动会。伯尼纳SAP项目的启动标志着企业业财信息化建设进入了一个新的历程。 实现业财一体化…

【软件设计师】——9.UML建模

目录 9.1概述 9.2 结构图 9.2.1 对象图 9.2.2 类图 9.2.3 构件/组件图 9.2.3 部署图 9.2.4 制品图 9.2.5 组合结构图 9.3 行为图 9.3.1 用例图 9.3.2 协作图 9.3.3 顺序/序列/时序图 9.3.4 活动图 9.3.5 状态图 9.3.6 通信图 9.4 交互图 9.1概述 基本概念 UML统…

matplotlib---气泡图

气泡图简介: 气泡图(Bubble Chart)是一种数据可视化图形,主要用于展示多个数据点之间的关系。 气泡图通过气泡的大小,位置和颜色可以展示数据之间的关系。在气泡图中,横轴和纵轴通常表示数据的两个维度&a…