入侵排查思路 (1)- 日志分析

日志分析

默认日志路径: /var/log

查看日志配置情况: more /etc/rsyslog.conf

重要日志:

登录失败记录: /var/log/btmp

最后一次登录: /var/log/lastlog

登录成功记录: /var/log/wtmp

登录日志记录: /var/log/secure

日志分析常用命令:

grep -rn "hello,world!"

cat input_file | tail -n +  | head -n (显示1000-2999行)

find /etc -name init #在目录/etc中查找文件init

sed -i '153,$d' .bash_history  #删除历史操作记录,只保留前153行

grep -C  foo file  #显示file文件里匹配foo那行以及上下5行

定位有多少IP在爆破主机的root账号

grep "Failed password for root" /var/log/secure | awk '{print $11}'| sort | uniq -c | sort -nr | more

爆破用户名字典

grep "Failed password" /var/log/secure|perl -e 'while($_=<>){/for(.*?) from/;print

"$1\n";}'|uniq -c | sort --nr

登录成功IP

grep "Accepted" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

登录成功的日期、用户名、IP:

grep "Accepted" /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

软件安装升级卸载日志:

more /var/log/yum.log

入侵排查思路(2)- 账号安全

用户信息文件: /etc/passwd

影子文件: /etc/shadow

who  #查看当前登录用户(tty本地登录,pts远程登录)

w   #查看系统信息,想知道某一时刻用户的行为

入侵排查:
查询特权用户(uid为0): awk -F: '$3==0{print $1}' /etc/passwd
查询可以远程登录的账号信息: awk '/\$1|\$6/{print $1}' /etc/passwd
禁用或删除多余可疑的账号:
usermod -L user #禁用账号,账号无法登录
userdel -r user #将删除user用户,并且将/home目录下的user目录一并删除

 

入侵排查思路(3)- 历史命令

root的历史命令: history

其他账号的历史命令: /home各账号目录下的 .bash_history

历史操作命令的清除: history -c

入侵排查:

进入用户目录:

cat .bash_history >> history.txt

入侵排查思路(4)- 端口&进程&开机启动项

检查异常端口:

使用netstat网络连接命令,分析可疑端口、IP、PID

netstat -antlp|more

检查异常进程:

使用ps命令,分析进程

ps aux | grep pid

使用 netset 和 ps 等命令时,可以灵活配合 grep命令获取信息

netstat -anp | grep -i listen

lsof -i:port #进程和端口对应关系

ps -aux查看进程信息(ps -ef 对于反弹shell,更便于发现)

检查开机启动项:

系统默认运行级别: vi /etc/inittab

开机启动配置文件: /etc/rc.local

入侵排查:

启动项文件:

more /etc/rc.local /etc/rc.d/rc[~].d

ls -l /etc/rc.d/rc3.d/

定时任务

crontab -l 列出某个用户cron服务的详细内容

crontab -r 删除某个用户 cront任务(删除所有的计划任务)

crontab -e 使用编辑器编辑当前的crontab文件

重点关注以下目录是否存在恶意脚本:

/var/spool/cron/*

/etc/crontab

/etc/cron.d/*

/etc/cron.daily/*

/etc/cron.hourly/*

/etc/cron.monthly/*

/etc/cron.weekly/

/etc/anacrontab

/var/spool/anacron/*

more /etc/cron.daily/* #查看目录下所有文件

系统服务

服务自启动:

修改 /etc/re.d/rc.local 文件,加入 /etc/init.d/httpd start

查询RPM包安装的服务:

chkconfig --list #查询服务自启动状态,可以看到所有的RPM包安装的服务

ps aux | grep crond #查看当前服务

系统在3和5级别下的启动项

中文环境

chkconfig --list | grep "3:启动\|5:启动"

英文环境

chkconfig --list | grep "3:on\|5:on"

查询源码包安装的服务:

查看服务安装位置,一般在 /user/local/

搜索 /etc/rc.d/init.d/ 查看是否存在

检查异常文件

查看敏感目录,如 /tmp目录下的文件,同时注意隐藏文件夹,以“..”为名称的文件夹具有隐藏属性

得到发现WEBSHELL、远控木马的创建时间,找出同一时间创建的文件

find /opt -iname "*" -atime 1 -type f #找出 /opt 下一天前访问过的文件

针对可疑文件可以使用 stat进行创建修改时间

安全运维 - Linux系统攻击回溯的更多相关文章

  1. 安全运维 - Linux系统攻击应急响应

    Linux 应急相应 - 总纲 应急准备: 制定应急策略 组建应急团队 其他应急资源 安全事件处理: 痕迹数据获取 分析.锁定攻击源删除可疑账号关闭异常进程.端口禁用相应异常开机启动项删除异常定时任务 ...

  2. 安全运维 - Windows系统攻击回溯

    Windows应急事件 病毒.木马.蠕虫 Web服务器入侵事件或第三方服务入侵事件 系统入侵事件 网络攻击事件(DDOS.ARP.DNS劫持等) 通用排查思路 获知异常事件基本情况 发现主机异常现象的 ...

  3. 安全运维 -- Linux服务器使用公私钥密匙证书登录

    环境:Ubuntu 16 前言 黑客遍地都是,ssh/pop3/ftp等爆破工具的流行让站长的日常运维工作量大大加重.Metasplot,Bruter等工具更是针对以上协议有专门 的破解方法,有字典破 ...

  4. 安全运维 - Linux系统维护

    命令相关 帮助信息命令:help.whatis.info.which.whereis.man 目录管理: cd.ls.mkdir.rm.chmod.mv 用户管理: groupadd.groupdel ...

  5. Linux运维工程师学习大纲

    linux运维课程大纲: Linux运维: Linux系统管理: Linux服务及安全管理: httpd,lamp,lnmp cache:memcached,varnish DB:mysql(mari ...

  6. Linux运维完全小白入门指南

    前几天整理了一下自己入门时候搜集的资料,一边整理一边回忆. 那时候我还是个小白,用虚拟机装了个CentOS系统来玩,但是总也装不上,在论坛上求助也没人理.半天终于有个人说在某网站看过这个问题,我又找了 ...

  7. 一个兼职DBA的数据库运维经验 小米科技 xx@xiaomi.com 2011

    一个兼职DBA的数据库运维经验 小米科技  xx@xiaomi.com 2011 内存扩容 16G->64G ,调大bp后,凌晨说监控物理内存有余量情况下,开吃swap,内存泄露措施1  定时 ...

  8. Linux运维人员如何学习python编程

    Linux运维人员如何学习python编程 从不会写代码,到自己独立能写代码解决问题 .这个问题很重要!盲目学习所谓的项目,最后 还是不会自己写代码解决问题.首先解决了独立能写代码解决问题,再通过项目 ...

  9. 马哥linux运维初级+中级+高级 视频教程 教学视频 全套下载(近50G)

    马哥linux运维初级+中级+高级 视频教程 教学视频 全套下载(近50G)目录详情:18_02_ssl协议.openssl及创建私有CA18_03_OpenSSH服务及其相关应用09_01_磁盘及文 ...

随机推荐

  1. Spring基础09——Bean的自动装配

    1.XML配置的Bean自动装配 SpringIOC容器可以自动装配Bean,需要做的仅仅是在<bean>的autowire属性里指定自动装配的模式,而不需要手工去指定要装配的Bean,a ...

  2. Linux系统性能测试工具(八)——网络性能测试工具之netperf

    本文介绍关于Linux系统(适用于centos/ubuntu等)的网络性能测试工具-iperf.磁盘io性能测试工具包括: iperf: netperf 参考链接:https://www.jiansh ...

  3. SPSS 23下载安装和激活

    目录 1. 其他版本 2. 安装教程 3. 下载地址 1. 其他版本 参考:https://www.cnblogs.com/coco56/p/11648399.html 2. 安装教程 SPSS 23 ...

  4. nologin - 阻止非root用户登录系统

    描述 DESCRIPTION 如果存在文件 /etc/nologin, login(1) 将只允许root访问.其它用户的登录会遭到拒绝并且显示该文件中的内容给他们. 文件 FILES /etc/no ...

  5. ID 学习二 FILE I/O

    TCP CONNECT 此文件io工具用于打开和另外一台电脑的tcp/ip连接 电脑(本地网络.ip地址或者完整主机名称) Inputs Server ID 想要连接的主机名称或者IP地址 TCP P ...

  6. oracle 主键自增并获取自增id

    1 创建表 /*第一步:创建表格*/ create table t_user( id int primary key, --主键,自增长 username varchar(20), password ...

  7. ascii 八进制

    int main() 4 { 5 char buf[20] = {'\101','\102','\103',0}; 6 printf("%s",buf); 7 return 0; ...

  8. django搭建一个小型的服务器运维网站-查看和修改服务器配置与数据库的路由

    目录 项目介绍和源码: 拿来即用的bootstrap模板: 服务器SSH服务配置与python中paramiko的使用: 用户登陆与session; 最简单的实践之修改服务器时间: 查看和修改服务器配 ...

  9. python连接数据库自动发邮件

    python连接数据库实现自动发邮件 1.运行环境 redhat6 + python3.6 + crontab + Oracle客户端 2.用到的模块  3.操作步骤 (1)安装python3.6参考 ...

  10. [洛谷P4107] HEOI2015 兔子与樱花

    问题描述 很久很久之前,森林里住着一群兔子.有一天,兔子们突然决定要去看樱花.兔子们所在森林里的樱花树很特殊.樱花树由n个树枝分叉点组成,编号从0到n-1,这n个分叉点由n-1个树枝连接,我们可以把它 ...