应急响应:Linux 入侵排查思路.

news2024/11/14 17:07:25

什么是应急响应.

一个组织为了 应对 各种网络安全 意外事件 的发生 所做的准备 以及在 事件发生后 所采取的措施 。说白了就是别人攻击你了,你怎么把这个攻击还原,看看别人是怎么攻击的,然后你如何去处理,这就是应急响应。


目录:

什么是应急响应.

应急响应工作流程:

常见的应急响应分类:

Linux 入侵排查思路:

(1)排查 系统日志.

 (2)网络连接.(排查 异常的连接.)

(3)排查 资源占用.(挖矿,木马)

(4)排查 开机启动项.

(5)排查 定时任务.

(6)排查 环境变量配置文件.

(7)排查 SSH后门.(排查 可疑账号)

(8)善用 威胁情报.


应急响应工作流程:


常见的应急响应分类:


Linux 入侵排查思路:

(1)排查 系统日志.

日志文件是记录I系统运行信息的文件,Linux系统内记载很多不同类型的日志.

查看登录信息.

lastlog


cd /var/log/         # 进入日志文件.

统计失败的次数.

sudo grep "Failed password" auth.log | wc -l        # 统计失败的次数

或者

sudo grep "Failed password" secure | wc -l

攻击次数排列,由高到低.

awk '{if($6=="Failed"&&$7=="password"){if($9=="invalid"){ips[$13]++;users[$11]++}else{users[$9]++;ips[$11]++}}}END{for(ip in ips){print ip, ips[ip]}}' auth.* | sort -k2 -rn | head

其他的日志排查可以查看:https://segmentfault.com/a/1190000021752790


 (2)网络连接.(排查 异常的连接.)

sudo netstat -antup            # 查看所以的网络连接


(3)排查 资源占用.(挖矿,木马)

进程是 Linux 当前正在处理的任务,当运行某个软件时将为其创建一个进程.

排查话术:CPU是否远超平时居高不下,如果是的话那么可能被植入了挖矿病毒
sudo ps -efcaux   # 查看所有进程(挖矿看 CPU 占多少.)


看着 进程 文件位置.

sudo lsof -p 1778                # 查找 PID 的文件位置

sudo lsof -p PID


查找绝对 文件 路径.

sudo ls -al /proc/1778/exe

sudo ls -al /proc/进程PID数/exe



关闭进程.

sudo kill -9 43        

sudo kill -9 进程号


列出 CPU 的占用顺序(从高到低.)

top            


再根据 CPU 高的查看这个文件的位置.

ps -ef|grep Xorg

ps -ef|grep 文件名


排查 前10的内存.

ps -aux | sort -k4nr|head -10


排查 网络宽带 .

排查话术:网络流量上下行有异常吗?有异常的话是哪个IP?

sudo apt-get install iftop    # 安装这个命令 查看
ip addr        # 查看所以网卡.(问问运维那个网卡是业务网卡)
sudo iftop -i eth0 -P

sudo iftop -i 业务网卡 -P


(4)排查 开机启动项.

ls -alt /etc/init.d

这个目录下面放了可执行脚本或文件,不认识的文件 和 运维 确认一下,看看是不是木马.


这个下面放的全是开机启动的服务.(排查的时候看看时间是不是在病毒发生的时候)

ls -alt rc            # 点击 Tab. 


列出 开机启动项 服务.(所有被设置为开机自启动文件)

systemctl list-unit-files | grep enabled

enabled  # 开启的服务


如果发现恶意服务,使用下面命令 关停 或者 删除.

sudo systemctl stop e2scrub_all.timer            # 停止服务 

sudo systemctl stop 服务名


sudo systemctl disable e2scrub_all.timer    # 删除这个服务.

sudo systemctl disable 服务名.


关错了,避免尴尬也可以偷偷 启动 或者 添加 服务.

sudo systemctl start e2scrub_all.timer        # 启动服务.

sudo systemctl start 服务名


sudo systemctl enable e2scrub_all.timer        # 添加和启动服务.

sudo systemctl enable 服务名


(5)排查 定时任务.

定时定点执行Linux程序或脚本.

crontab -e            # 用来创建定时任务.


定时保存的路径有以下几个.

vi /var/spool/cron/        # 目录里的任务以用户命名.


vi /etc/crontab             # 调度管理维护任务.(排查里面有没有新的添加)


vi /etc/cron.d/    # 这个目录用来存放任何要执行的crontab文件或脚本

(排查有没有新的添加文件 再和运维核对 进行排查)


vi /etc/cron.hourly            # 每小时执行一次

vi /etc/cron.daily             # 每天执行一次

vi /etc/cron.weekly            # 每周执行一次

vi /etc/cron.monthly           # 每月执行一次

(6)排查 环境变量配置文件.

这些文件用于设置系环境变量或启动程序,每次Linux登入或切换用户都会触发这些文件.

vi /etc/bash.bashrc            # 排查环境变量配置文件.


vi .bash_logout            # 这个文件系统默认里面有.(退出用户的时候也会执行)


vi /etc/profile                # 排查这个文件中是否有执行的木马


vi .profile            # 排查这个文件中是否有执行的木马


(7)排查 SSH后门.(排查 可疑账号)

SSH 是一种加密的网络传输协议,通常利用SSH来传输企令行界面和远程执行命.

users                  # 查看账户.(排查有没有不认识的账户)

cat /etc/passwd        # 查看所以账户.(排查有没有不认识的账户)

下面命令的后缀解析:

/bin/bash              # 账户可登录,登录后使用/bin/bash解释执行脚本
/bin/sh                # 账户可登录,登录后使用/bin/bash解释执行脚本

/bin/false             # 不可登录,不会有任何提示.

/usr/sbin/nologin      # 不可登录,拒绝用户登录.


密钥篡改:(这个文件是用来存储公钥的,然后我们再使用私钥来登录就行)

cat authorized_keys    

(排查文件有没有多的公钥,就是多出来一条数据.)

重装覆盖:(就是把 SSH 重装一遍,安装一个有后门的.)

ls -lt /usr/bin/ssh /usr/sbin/sshd        

# 查看文件时间是不是新的.但是时间可能也被修改.


ssh -V        # 查看版本.(是不是我们之前安装的版本)


(8)善用 威胁情报.

威胁情报是识别和分析网络威胁的过程。威胁情报平台可以查出一些域名和IP地址得 信誉 度,一旦发现它们存在网络攻击痕迹迅速封禁.

https://x.threatbook.com/                # 微步在线

https://www.virustotal.com/gui/          # VirusTotal(上传文件,检查木马)

https://ti.360.net/#/homepage            # 360威胁平台

https://ti.nsfocus.com/                  # 绿盟威胁情报平台

https://ti.dbappsecurity.com.cn/         # 安恒威胁情报平台

  

  

  

学习链接:【应急响应】Linux篇-开篇_哔哩哔哩_bilibili

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2043541.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

引领企业全球化发展 极光亮相华为亚太ICT峰会2024·泰国

近日,华为亚太ICT峰会2024泰国正式开幕,极光(Aurora Mobile,纳斯达克股票代码:JG)凭借其创新的技术实力与前瞻性的产品布局,受邀出席本次活动。会上,极光展示了其全域消息通知解决方…

【C语言篇】C语言常考及易错题整理DAY1

文章目录 C语言常考及易错题整理选择题全局、局部和静态变量#define与typedef转义字符操作符循环其他 编程题计算日期到天数转换柯尼希定理旋转数组的最小数字描述错误的集合整数转换密码检查 C语言常考及易错题整理 选择题 全局、局部和静态变量 执行下面程序,正…

表操作数据库练习

1.一个关系数据库文件中的各条记录 ( ) A.前后顺序不能任意颠倒,一定要按照输入的顺序排列 B.前后顺序可以任意颠倒,不影响库中的数据关系 C.前后顺序可以任意颠倒,但排列顺序不同,统计处理的结果就可…

人工智能-自然语言处理(NLP)

人工智能-自然语言处理(NLP) 1. NLP的基础理论1.1 语言模型(Language Models)1.1.1 N-gram模型1.1.2 词嵌入(Word Embeddings)1.1.2.1 词袋模型(Bag of Words, BoW)1.1.2.2 TF-IDF&a…

SDL 锁屏视频卡死bug原因

最近在封装播放库,我用的是FFMPEGSDL库封装,这个库其实用起来不难,因为网上可供参考的资源也多,所以我自己也封装了一个,但是播放视频时只要我电脑一锁屏再重新打开,我靠视频卡住不动了,我调试看…

两种图像透明背景转特定颜色方法的比较

之前写过一篇博客,关于透明背景转换为特定颜色,当时使用了NumPy数组采用布尔索引转换的方式,这次我们把这种转换和常规的逐像素转换的方式进行比较,看那种方法效率更高。记得以前使用Matlab的时候,显然是矩阵布尔索引的…

yolov8/yolov10 MLU370 实现推理/单多卡训练!

文章目录 前言一、平台环境配置二、基础环境配置1.代码下载2.环境安装3.模型下载4.代码修改 三.单卡推理四、单/多卡训练 前言 本章主要操作以yolov8为主,但是yolov10用该操作也能直接适用,开干! 一、平台环境配置 镜像选择:v2…

spring boot(学习笔记第十七课)

spring boot(学习笔记第十七课) Spring boot的Apache ActiveMQ 学习内容: Spring boot的Apache ActiveMQ 1. Spring boot的Apache ActiveMQ 什么是JMS(Java Message Service) JMS(Java Message Service)就是Java消息服…

Fultter项目中IOS打包问题整理(附带解决方案)

Fultter项目中IOS打包问题整理(附带解决方案) 问题一:CocoaPods 在你的项目中找不到名为 AlicloudPush 版本为 ~> 1.9.1 的 Pod 规范。报错信息问题分析解决方法 问题二:ruby版本问题报错信息问题分析问题原因解决方法 问题三&…

squeeze()和unsequeeze()函数的作用

sequeeze(dim):用于在指定位置添加一个大小为1的新维度 例如: 其他的大家自行尝试! squeeze():squeeze函数用于去除张量中所有大小为1的维度,注意当没有传入任何参数的时候,去掉的是所有大小为1的维度。 例如:

力扣第五十九题——螺旋矩阵II

内容介绍 给你一个正整数 n ,生成一个包含 1 到 n2 所有元素,且元素按顺时针顺序螺旋排列的 n x n 正方形矩阵 matrix 。 示例 1: 输入:n 3 输出:[[1,2,3],[8,9,4],[7,6,5]]示例 2: 输入:n 1 …

基于SpringBoot的网络海鲜市场系统的设计与实现

TOC springboot219基于SpringBoot的网络海鲜市场系统的设计与实现 绪论 1.1 选题背景 当人们发现随着生产规模的不断扩大,人为计算方面才是一个巨大的短板,所以发明了各种计算设备,从结绳记事,到算筹,以及算盘&…

【ubuntu24.04】远程开发:微软RDP;ssh远程root登录;clion以root远程

本地配置了一台ubutnu服务器,运行各种服务。偶尔会远程过去,做一些UI操作。感觉nomachine的就是会模糊一些,可能是默认的编码比较均衡?RDP更清晰? RDP 与nomachine比,更清晰,但是貌似不支持自动缩放窗口?默认的配置就比较高:GPT的建议 安装xrdp还要配置session:1. 安…

从零开始搭建k8s集群详细步骤

声明:本文仅作为个人记录学习k8s过程的笔记。 节点规划: 两台节点为阿里云ECS云服务器,操作系统为centos7.9,master为2v4GB,node为2v2GB,硬盘空间均为40GB。(节点基础配置不低于2V2GB) 主机名节点ip角色部…

链表(linked_list)的理解以及实现

链表的概念: 链表是一种线性数据结构,其中的每个元素都是一个节点对象,各个节点通过“引用”相连接。引用记录了下一个节点的内存地址,通过它可以从当前节点访问到下一个节点。 可以看出:链表物理结构不是连续的 链…

在Ubuntu 13.10上安装Hadoop的方法

前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站。 先决条件 本教程的唯一先决条件是安装了 Ubuntu 13.10 x64 的 VPS。 您需要通过以下两种方式之一在命令行中执行命令: 使用…

AI芯片:高性能卷积计算中的数据复用

随着深度学习的飞速发展,对处理器的性能要求也变得越来越高,随之涌现出了很多针对神经网络加速设计的AI芯片。卷积计算是神经网络中最重要的一类计算,本文分析了高性能卷积计算中的数据复用,这是AI芯片设计中需要优化的重点之一&a…

XSS游戏前五关

分享一个XSS游戏的链接 XSS Game 第一关&#xff1a; 这边有一个innerHTML属性&#xff0c;我们查看官方文档 我们找到了它存在的漏洞&#xff0c;直接利用 https://sandbox.pwnfunction.com/warmups/ma-spaghet.html?somebody<img src1 onerror"alert(1337)&quo…

工具推荐篇:《Chat-PPT一键AI生成专属风格演示文稿》

引言 在当今快节奏的工作环境中&#xff0c;制作高质量的演示文稿既是一项挑战也是一门艺术。传统的PPT制作往往需要花费大量的时间和精力&#xff0c;尤其是在寻找合适的模板、设计布局和选择色彩搭配等方面。 今天给大家推荐一款AI一键制作高质量PPT的工具。 AI如何改变PP…

CANoe软件中Trace窗口的筛选栏标题不显示(空白)的解决方法

文章目录 问题描述原因分析解决方案扩展知识总结问题描述 不知道什么情况,CANoe软件中Trace窗口的筛选栏标题突然不显示了,一片空白。现象如下: 虽然不影响CANoe软件的使用,但是观感上非常难受,对于强迫症患者非常不友好。 原因分析 按照常规思路,尝试了: 1、重启CAN…