应急响应之Linux排查

微信公众号&＃xff1a;[小白渗透成长之路]
弱小和无知不是生存的障碍&＃xff0c;傲慢才是&＃xff01;
[如果你觉得文章对你有帮助&＃xff0c;欢迎点赞]

内容目录

Linux排查0X01 入侵排查1.1 查看linux账号信息1.2 入侵排查1.3 历史命令1.4 检查异常端口1.5 查看异常进程1.6 查看开机启动项1.7 检查定时任务1.8 重点关注目录 1.9 检查异常文件 1.9.1 linux日志位置合集0X02 工具篇

Linux排查

0X01 入侵排查

1.1 查看linux账号信息

**A、**查看用户信息文件 /etc/passwd

root:x:0:0:root:/root:/bin/bash
account:password:UID:GID:GECOS:directory:shell


用户名&＃xff1a;密码&＃xff1a;用户ID&＃xff1a;组ID&＃xff1a;用户说明&＃xff1a;家目录&＃xff1a;登陆之后shell
**注意&＃xff1a;**无密码只允许本机登陆&＃xff0c;远程不允许登陆。

**B、**查看影子文件
/etc/shadow 文件&＃xff0c;用于存储 Linux 系统中用户的密码信息&＃xff0c;又称为“影子文件”。
/etc/shadow 文件只有 root 用户拥有读权限。
注意&＃xff0c;如果这个文件的权限发生了改变&＃xff0c;则需要注意是否是恶意攻击。

root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/
:16809:0:99999:7:::


用户名&＃xff1a;加密密码&＃xff1a;密码最后一次修改日期&＃xff1a;两次密码的修改时间间隔&＃xff1a;密码有效期&＃xff1a;密码修改到期到的警告天数&＃xff1a;密码过期之后的宽限天数&＃xff1a;账号失效时间&＃xff1a;保留

1.2 入侵排查

**A、**查询特权用户&＃xff08;UID为0&＃xff09;

[root]# awk -F: &＃39;$3&＃61;&＃61;0{print $1}&＃39; /etc/passwd


**B、**查询可远程登录的账号

[root]# awk &＃39;/\$1|\$6/{print $1}&＃39; /etc/shadow


**C、**查询除root之外&＃xff0c;是非存在其他sudo权限的账号。

[root]# more /etc/sudoers | grep -v "^#\|^$" | grep "ALL&＃61;(ALL)"


**D、**禁用或删除多余及可疑的账号

usermod -L user 锁定用户密码&＃xff0c;使密码无效。
userdel user 删除user用户
userdel -r user 将删除user用户&＃xff0c;并且将/home目录下的user目录一并删除


1.3 历史命令

**A、**root的历史命令
history     #查看所有历史命令

history n    #查看最近多少条命令

**B、**删除所有历史命令
history -c
C、
history -d 212     #清除212行的命令数据

1.4 检查异常端口

**A、**使用netstat 网络连接命令&＃xff0c;分析可疑端口、IP、PID
netstat -antlp|more

**B、**查看PID对应的进程文件路径
ls -l /proc/$PID/exe
file /proc/$PID/exe

1.5 查看异常进程

**A、**查找指定进程格式
ps aux | grep pid

B、显示进程信息
ps -A

1.6 查看开机启动项

A、/etc/profile.d/*.sh是bash的全局配置文件&＃xff0c;/etc/profile.d/下有许多shell脚本&＃xff0c;可以在开机时启动。

B、/etc/rc.d/rcX.d目录
目录内有每个服务在init.d内启动脚本的链接文件&＃xff0c;根据链接文件的名字来判断启动状态K开头表示不启动服务&＃xff0c;S打头表示启动服务。

C、/etc/init.d目录内放的是各个服务的启动脚本&＃xff0c;例如sshd、httpd等

1.7 检查定时任务

**A、**列出所有的定时任务
crontab -l

**B、**删除用户的定时任务
crontab -r
当执行此命令后&＃xff0c;所有用户下面的定时任务会被删除&＃xff0c;执行crontab -l后会提示用户&＃xff1a;“no crontab for admin”

1.8 重点关注目录

/var/spool/cron/* 
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/* 
/etc/cron.hourly/* 
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*

例如&＃xff1a;more /etc/cron.daily/*  查看目录下所有文件

1.9 检查异常文件

**1、**查看敏感目录&＃xff0c;如/tmp目录下的文件&＃xff0c;同时注意隐藏文件夹&＃xff0c;以“…”为名的文件夹具有隐藏属性

**2、**得到发现WEBSHELL、远控木马的创建时间&＃xff0c;如何找出同一时间范围内创建的文件&＃xff1f;
可以使用find命令来查找&＃xff0c;例如要查找24小时内被修改的jsp文件&＃xff1a;find ./ -mtime 0 -name "*.jsp"

**3、**针对可疑文件可以使用stat进行创建修改时间。

1.9.1 linux日志位置合集

日志默认存放位置&＃xff1a;/var/log/
查看日志配置情况&＃xff1a;more /etc/rsyslog.conf

0X02 工具篇

**A、**GScan
本程序旨在为安全应急响应人员对Linux主机排查时提供便利&＃xff0c;实现主机侧Checklist的自动全面化检测&＃xff0c;根据检测结果自动数据聚合&＃xff0c;进行黑客攻击路径溯源。

项目地址&＃xff1a;https://github.com/grayddq/GScan


**B、**Linux病毒扫描工具-ClamAV

官网地址&＃xff1a;http://www.clamav.net/download.html


安装使用教程&＃xff1a;https://blog.csdn.net/carefree2005/article/details/122705554


工具只是帮助我们&＃xff0c;更重要还是要理解原理和思路方式。

小白渗透成长之路

一个非科班的信安小白&＃xff0c;会将自己平时遇到的好的经验分享出来&＃xff0c;共勉。同时也会转推一些大佬文章&＃xff0c;小白成长之路&＃xff0c;大佬勿喷呀。

96篇原创内容

公众号