【应急响应】Linux入侵排查

防洪应急包应包括防水袋、手电筒、食物和电池，以防洪水侵入。 #生活技巧# #居家生活技巧# #家庭安全技巧# #家庭应急包准备#

入侵排查方法跟windows大差不差：

                        账号安全

                        历史命令

                        检查异常端口

                        检查异常进程

                        检查开机启动项

                        检查定时任务

                        检查服务

                        检查异常文件

                        检查系统日志

1、检查系统账号安全

1、用户信息文件：/etc/passwd

格式：用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后的 shell

例：root:x:0:0:root:/root:/bin/bash

Ps：无密码只允许本机登陆，远程不允许登陆

2、影子文件：/etc/shadow

格式：用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留

例：root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
Ps：1和2的区别，第一个是记录用户的基础信息，第二个式记录用户的密码和安全策略；影子文件的日期是从 1970 年 1 月 1 日（Unix 时间起点）到对应事件的天数

1、查询特权用户特权用户(uid 为0就是root用户（超级用户）)

 awk -F: '$3==0{print $1}' /etc/passwd

2、查询可以远程登录的帐号信息

awk '/\$1|\$6/{print $1}' /etc/shadow

3、除root帐号外，其他帐号是否存在sudo权限。如非管理需要，普通帐号应删除sudo权限

more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

4、禁用或删除多余及可疑的帐号

usermod -L user 禁用帐号，帐号无法登录，/etc/shadow第二栏为!开头

userdel user 删除user用户

userdel -r user 将删除user用户，并且将/home目录下的user目录一并删除

5、查看用户登录状态

who         #查看当前登录用户、登录终端、登录时间等基本信息。

w           #在who的基础上，额外显示用户当前运行的进程和系统负载。，查看系统信息，想知道某一时刻用户的行为

uptime        # 查看登陆多久、多少用户，负载

last   #查看用户的历史登录信息（包括登录 / 注销时间、来源 IP 等）

lastlog   #显示所有用户的最后一次登录信息（包括从未登录过的用户）。

（显示logged in表示用户还在登录，tty本地登陆 ，pts远程登录）

6、查看可登录用户：

cat /etc/passwd | grep /bin/bash

7、查看空口令账号

awk -F: '($2=="")' /etc/shadow

Ps：登录后/var/log/wtmp文件删除或者清空，这样就查看不了历史登录时间和记录了

2、历史命令

通过.bash_history查看帐号执行过的系统命令

1、root的历史命令

histroy

2、打开/home各帐号目录下的.bash_history，查看普通帐号的历史命令

Ps：历史操作命令的清除：history -c 该操作并不会清除保存在文件中的记录，因此需要手动删除.bash_profile文件中的记录

3、异常端口/网络排查

 1、检查异常端口

 netstat -antlp | more        #用于列出所有网络连接（包括 TCP/UDP），并显示对应的进程 PID 和程序名

2、查看恶意进程对应的进程文件路径

ls -l /proc/$PID/exe        #/proc/$PID/exe是指向进程可执行文件的符号链接，可用于确认进程文件的真实位置，排查恶意程序

3、使用ps命令分析进程

ps aux | grep pid

4、检查开机启动项

查看运行级别命令

runlevel        #该命令属于旧版本（如 CentOS 6 及更早、Ubuntu 14.04 及更早）的工具

新版为：systemctl get-default

设置rarget：systemctl set-default ****

运行级别 0：关机。在此级别下，系统进程被关闭，所有文件系统都被卸载并且电源被关闭。
运行级别 1：单用户模式。在此级别下，只有一个root用户可以登录，所有本地文件系统都将以只读模式挂载，网络服务不会启动。
运行级别 2-5：多用户模式。这些级别下，系统中的各项服务和用户界面都可用，通常情况下我们会将系统设置在运行级别3或5中。
运行级别 6：重启。在此级别下，系统会重新启动。

传统运行级别

systemd target

功能说明

0

poweroff.target

关机

1

rescue.target（单用户救援）

仅 root 可操作，用于系统修复

3

multi-user.target

多用户命令行模式（服务器常用）

5

graphical.target

多用户图形界面模式

6

reboot.target

重启

5、检查计划任务

1、利用crontab创建计划任务

基本命令

crontab -l 列出某个用户cron服务的详细内容

Ps：默认编写的crontab文件会保存在 (/var/spool/cron/用户名 例如: /var/spool/cron/root

crontab -r 删除每个用户cront任务(谨慎：删除所有的计划任务)

crontab -e 使用编辑器编辑当前的crontab文件

crontab 的时间格式由 5 个字段组成，顺序是分 时 日 月 周，每个字段用空格分隔

*/1 * * * * echo "hello world" >> /tmp/test.txt 每分钟写入文件

0 */2 * * * 每 2 小时

2、利用anacron实现异步定时任务调度

每天运行 /home/backup.sh脚本：

vi /etc/anacrontab

@daily 10 example.daily /bin/bash /home/backup.sh

@daily：要求每天执行一次；

10：如果机器关机导致当天没执行，开机后等 10 分钟再补做（避免开机瞬间系统负载高）；

example.daily：给这个任务起的标识名（方便管理）

3、重点观察以下目录

/var/spool/cron/*

/etc/crontab

/etc/cron.d/*

/etc/cron.daily/*

/etc/cron.hourly/*

/etc/cron.monthly/*

/etc/cron.weekly/

/etc/anacrontab

/var/spool/anacron/*

小技巧：more /etc/cron.daily/* 查看目录下所有文件

6、检查服务

1、服务自启动

第一种修改方法：

格式：chkconfig [--level 运行级别] [独立服务名] [on|off]
chkconfig –level  2345 httpd on  #开启自启动
chkconfig httpd on （默认level是2345）

第二种修改方法：

编辑/etc/re.d/rc.local 文件 
添加

/etc/init.d/httpd start        #rc.local 是 Linux 系统开机最后执行的脚本文件，往里面添加服务启动命令，系统开机时就会自动执行这条命令

Ps:有些高版本rc.local 默认被 systemd 管理，没有 x（执行）权限的话，开机时系统会跳过这个文件。

第三种修改方法：

使用ntsysv命令管理自启动，可以管理独立服务和xinetd服务。

2、查看已安装的服务

1、RPM包安装的服务

chkconfig  --list  # 查看服务自启动状态，可以看到所有的RPM包安装的服务
ps aux | grep crond   #查看当前服务

a、系统在3与5级别下的启动项 
中文环境：
chkconfig --list | grep "3:启用\|5:启用"
英文环境：
chkconfig --list | grep "3:on\|5:on"

2、源码包安装的服务

查看服务安装位置 一般是在/user/local/
启动httpd服务：service httpd start
搜索/etc/rc.d/init.d/  查看是否存在恶意启动脚本

7、检查异常文件

1、查看敏感目录，如/tmp目录下的文件，同时注意隐藏文件夹，以“..”为名的文件夹具有隐藏属性

2、得到发现webshell、远控木马的创建时间，如何找出同一时间范围内创建的文件？

可以使用find命令来查找，如 find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前访问过的文件

3、针对可疑文件可以使用stat进行创建修改时间。

4|查看文件创建时间

ls

5、查找最近修改过的文件

find ./ -mtime 0

-mtime0表示文件修改时间距离当前为0天的文件，即距离当前时间不到1天（24小时）以内的文件。
.-mtime1表示文件修改时间距离当前为1天的文件，即距离当前时间1天（24小时－48小时）的文件。
-mtime+1表示文件修改时间为大于1天的文件，即距离当前时间2天（48小时）之外的文件
-mtime-1表示文件修改时间为小于1天的文件，即距离当前时间1天（24小时）之内的文件

6、查看文件路径

whereis 文件名

8、检查系统日志

日志默认存放位置：/var/log/

查看日志配置情况：more /etc/rsyslog.conf

日志文件

说明

/var/log/cron

记录了系统定时任务相关的日志

/var/log/cups

记录打印信息的日志

/var/log/dmesg

记录了系统在开机时内核自检的信息，也可以使用dmesg命令直接查看内核自检信息

/var/log/mailog

记录邮件信息

/var/log/message

记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息，如果系统出现问题时，首先要检查的就应该是这个日志文件

/var/log/btmp

记录错误登录日志，这个文件是二进制文件，不能直接vi查看，而要使用lastb命令查看

/var/log/lastlog

记录系统中所有用户最后一次登录时间的日志，这个文件是二进制文件，不能直接vi，而要使用lastlog命令查看

/var/log/wtmp

永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件，不能直接vi，而需要使用last命令来查看

/var/log/utmp

记录当前已经登录的用户信息，这个文件会随着用户的登录和注销不断变化，只记录当前登录用户的信息。同样这个文件不能直接vi，而要使用w,who,users等命令来查询

/var/log/secure

记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中

比较重要的几个日志：

登录失败记录：/var/log/btmp //lastb

最后一次登录：/var/log/lastlog //lastlog

登录成功记录: /var/log/wtmp //last

登录日志记录：/var/log/secure

常用检查命令日志分析技巧

1、定位有多少IP在爆破主机的root帐号：    
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

定位有哪些IP在爆破：
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

爆破用户名字典是什么？
 grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

2、登录成功的IP有哪些：     
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

登录成功的日期、用户名、IP：
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' 

3、增加一个用户kali日志：
Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001
Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali
, shell=/bin/bash
Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali
#grep "useradd" /var/log/secure 

4、删除用户kali日志：
Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'
# grep "userdel" /var/log/secure

5、su切换用户：
Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)

sudo授权执行:
sudo -l
Jul 10 00:43:09 localhost sudo:    good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now

1、grep显示前后几行信息:

标准unix/linux下的grep通过下面參数控制上下文：

grep -C 5 foo file 显示file文件里匹配foo字串那行以及上下5行

grep -B 5 foo file 显示foo及前5行

grep -A 5 foo file 显示foo及后5行

grep -rn "hello,world!"  查找含有某字符串的所有文件

查看grep版本号的方法是

grep -V

2、如何显示一个文件的某几行：

cat input_file | tail -n +1000 | head -n 2000

#从第1000行开始，显示2000行。即显示1000~2999行

3、在目录/etc中查找文件init

find /etc -name init

4、只是显示/etc/passwd的账户

`cat /etc/passwd |awk -F ':' '{print $1}'`

//awk -F指定域分隔符为':'，将记录按指定的域分隔符划分域，填充域，$0则表示所有域,$1表示第

一个域,$n表示第n个域。

5、sed -i '153,$d' .bash_history

删除历史操作记录，只保留前153行

网址：【应急响应】Linux入侵排查 https://klqsh.com/news/view/336632

相关内容

应急响应的处置要点是什么（）
Linux安装phpstudy
在 Linux 系统中，`find` 命令是一个强大的文件查找工具
揭秘Oracle Linux系统运维实战技巧，轻松应对日常挑战！
运维服务应急处理措施
搜狗输入法linux
Linux speedtest
快速了解Linux中的网速测试命令！ – Linux命令大全(手册)
叉车事故应急响应与处理指南（附参考模板）
2025年linux yum命令报错（linux执行yum报错）

随便看看