关键词:
前言:
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
01文件分析-敏感文件信息
在linux系统下一切都是文件,其中/tmp是一个特别的临时目录文件。每个用户都可以对它进行读写操作。因此一个普通用户可以对/tmp目录执行读写操作。
查看敏感目录文件,如 tmp目录、可执行程序目录/usr/bin ,/usr/sbin等
1.使用la -alt / 查找tmp目录
【一>所有资源获取<一】
1、200份很多已经买不到的绝版电子书
2、30G安全大厂内部的视频资料
3、100份src文档
4、常见安全面试题
5、ctf大赛经典题目解析
6、全套工具包
7、应急响应笔记
2.使用ls —help 查看帮助信息
3.ls的常用用法:
ls 用来显示目录列表
-a 显示所有档案及目录
-l 以长格式显示目录下的内容列表
-t 用文件和目录的更改时间排序
4.进入tmp目录,查找最近新添加的可疑文件。
02文件分分析-敏感文件信息
查看开机启动项内容/etc/init.d/,恶意代码很有可能设置在开机启动的位置。
查看指定目录下文件时间顺序的排序:ls -alt | head -n 10
查看文件时间属性: stat 文件名
使用ls -alh /etc/init.d // 查看开机启动项
进入开机启动项目录,对其进行筛选。
针对可以文件可以使用**stat **进行创建修改时间、访问时间的详细查看,若修改时间距离时间日期接近,有线性关联,说明可以被篡改。
如:stat apache2 查看文件详细信息。
03文件分析-敏感文件信息
主要针对新增文件分析:
查找24h内被修改的文件
find ./ -mtime 0 -name “*.php”
查找72h内新增的文件
find ./ -ctime -2 -name “‘*.php”
权限查找,在linux系统中,如果具有777权限,那么文件就很可疑。
find ./ -iname “*.php” -perm 777 其中 -iname忽略大小写,-perm用于设定筛选文件权限
find ./ -ctime -2 -name “‘*.txt” //查找72h内新增的txt文件。
find ./ -iname “*.php” -perm 777 //查找最近新建的含.php文件的,具有最高权限的文件。
新建立一个z.php文件,给予最高权限。
再次进行筛选。
04-网络连接分析
在linux中可以使用netstat进行网络连接查看
netstat -Print network connections,rounting tables,interface statistics,masquerade connections,and multicast memberships
具体帮助信息查看 man netstat
常用命令 **netstat -pantl **查看处于tcp网络套接字相关信息
关闭未知连接使用** kill -9 pid **既可关闭。
使用:netstat -pantl 查看处于tcp网络套接字相关信息
ip a 查看网络信息
发现可疑进程,使用 kill -9 + pid值,然后关闭进程。
05-进程分析-进程所对文件
使用ps命令,分析进程。根据netstat 定位出pid ,使用ps命令,分析进程
使用ps aux 查看你所有进程信息
ps aux | grep “22” 查看最近使用了22端口的进程。
使用pid进行筛选
筛选 pid为647的 进程。
查看端口未22的隐藏进程
06-登录分析-筛选异常登录
在Linux做的操作都会被记录到系统日志中,对于登录也可以查看日志信息查看是否有异常登录
last命令记录着所有用户登录系统的日志,可以用来查找非授权用户的登录事件,而last命令的输出结果来源于**/var/log/wtmp**文件,稍有经验的入侵者都会删掉
/var/log/wtmp以清除自己行踪,但是还是会露出蛛丝马迹在此文件中的
last -i grep -h 0.0.0.0 查看登录日志,筛选非本地登录
last -i //查看登录日志,含登录ip地址。
last -i grep -v 0.0.0.0 查看登录日志,筛选非本地登录
常见的用法:
who 查看当前登录用户(tty本地登陆 pts远程登录)
w 查看某一时刻用户的行为
uptime 查看有多少用户,以此确定是否存在异常用户
lastb 显示登录失败次数,判断是存在ssh爆破
last 显示用户最近登录信息。
lastlog 登录成功记录
总结:
本文主要总结了在遇到了Linux系统时,应急响应先从对敏感文件分析、敏感文件信息、网络连接分析、进程分析、异常登录记录进行分析。
应急响应之linux入侵排查(代码片段)
文章目录0x00前言0x01应急流程0x02入侵排查思路账号安全历史命令检查异常端口检查异常进程检查开机启动项检查定时任务检查服务检查异常文件检查系统日志0x00前言当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安... 查看详情
应急响应
一、应急响应基础流程:事件状态判断-临时处置-信息收集分析-事件处置-事件防御 1、事件状态判断了解现状、发生时间、系统架构、确认感染主机2、临时处置被感染主机:网络隔离、禁止使用U盘和移动硬盘未感染主机:AC... 查看详情
浅析linux系统入侵排查与应急响应技术(代码片段)
...程端口排查系统服务排查日志分析SSH暴力破解Web应用日志应急工具GScan病毒查杀总结前言当企业发生网络安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,同时还需进一步查找... 查看详情
应急响应之linux入侵排查(代码片段)
文章目录0x00前言0x01应急流程0x02入侵排查思路账号安全历史命令检查异常端口检查异常进程检查开机启动项检查定时任务检查服务检查异常文件检查系统日志0x00前言当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安... 查看详情
windows系统入侵排查与应急响应技术(代码片段)
...查启动项的排查计划服务排查系统信息排查日志信息排查应急工具总结前言前面一篇文章:浅析Linux系统入侵排查与应急响应技术介绍了Linux系统的应急响应技术,本文来学习、记录下Windows系统的入侵排查与应急响应技术... 查看详情
linux应急响应
目录1.操作系统信息2.登录排查3.启动项排查4.进程排查5.计划任务6.日志7.文件排查1.操作系统信息uname-a查看操作系统信息、内核版本cat/proc/versionlsb_release-a(需要安... 查看详情
应急响应——linux入侵排查(代码片段)
事件响应可以定义为每当发生计算机或网络安全事件时所采取的行动过程。作为事件响应者,您应该始终了解系统中应该出现和不应该出现的内容。排查思路(1)首先监测用户账号安全,比如新增的账号、可疑账... 查看详情
应急响应——linux入侵排查(代码片段)
事件响应可以定义为每当发生计算机或网络安全事件时所采取的行动过程。作为事件响应者,您应该始终了解系统中应该出现和不应该出现的内容。排查思路(1)首先监测用户账号安全,比如新增的账号、可疑账... 查看详情
应急响应方案
行文目录如下: 1.事件分类常见的安全事件:Web入侵:挂马、篡改、Webshell系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞病毒木马:远控、后门、勒索软件信息泄漏:刷裤、数据库登录(弱口令)网络流量:频繁发... 查看详情
应急响应之linux日志分析(代码片段)
文章目录0x00介绍0x01linux日志简介0x02日志分析技巧0x001常用的shell命令0x002日志分析技巧摘抄0x00介绍Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息0x01linux日志简... 查看详情
应急响应——linux日志分析(代码片段)
Linux系统中日志存放位置/var/log/不同linux发行版的该目录下的其他日志位置可能不同,具体情况具体分析查看日志配置情况:cat/etc/rsyslog.conf/var/log/目录下,所有日志情况/var/log/wtmp登录进入,退出,数据交换、... 查看详情
应急响应——windows入侵排查(代码片段)
Windows安全应急处置从以下方面进行排查windows主机1.是否有异常进程、用户2.异常的服务、计划任务、启动项3.注册表信息4.端口开放情况5.文件及文件共享6.防火墙设置7.异常会话8.日志9.其他10.工具进程获取系统上正在运行的所有... 查看详情
应急响应篇:windows入侵排查(代码片段)
前言应急响应(IncidentResponseService,IRS)是当企业系统遭受病毒传播、网络攻击、黑客入侵等安全事件导致信息业务中断、系统宕机、网络瘫痪,数据丢失、企业声誉受损,并对组织和业务运行产生直接或间接... 查看详情
应急响应入侵排查之第一篇windows(代码片段)
文章目录0x00介绍0x01入侵排查思路1.1检查系统账号安全第一步查看服务器是否有弱口令,远程管理端口是否对公网开放。第二步查看服务器是否存在可疑账号、新增账号。第三步查看服务器是否存在隐藏账号、克隆账号。方... 查看详情
应急响应——windows入侵排查(代码片段)
...案与防范措施,为企业挽回或减少经济损失。常见的应急响应事件分类:Web入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门网络攻击:DDOS攻击、DNS劫持、ARP欺骗针对常见的攻击... 查看详情
应急响应基础技能(代码片段)
...查 1.恶意软件常用的敏感路径进行排查 2.确定了应急响应时间点后,对时间点前后的文件进行排查 3.对带有特征的恶意软件进行排查,包含代 查看详情
记一次应急响应之ssh日志和apache2日志分析(代码片段)
文章目录学习笔记连接第一部分查看系统情况0x01查看端口0x02账号安全0x03查看ssh日志信息第一步查看登陆成功的日志第二步查看正常退出的日志第三步连接到服务器,提示输入密码时取消第四步正常的手密码输入错误日志第... 查看详情
应急响应第一篇之基础篇(代码片段)
文章目录0x01基本流程和基本原则一、什么是应急响应二、应急响应的两个方面三、应急响应的基本流程四、应急响应的原则0x02技能和工具的简介一、常用工具-webshell工具--Processhacker工具-火绒剑工具-LastActivityview工具---Autoruns工... 查看详情