入侵排查思路 (1)- 日志分析

日志分析

默认日志路径: /var/log

查看日志配置情况: more /etc/rsyslog.conf

重要日志:

登录失败记录: /var/log/btmp

最后一次登录: /var/log/lastlog

登录成功记录: /var/log/wtmp

登录日志记录: /var/log/secure

日志分析常用命令:

grep -rn "hello,world!"

cat input_file | tail -n +  | head -n (显示1000-2999行)

find /etc -name init #在目录/etc中查找文件init

sed -i '153,$d' .bash_history  #删除历史操作记录,只保留前153行

grep -C  foo file  #显示file文件里匹配foo那行以及上下5行

定位有多少IP在爆破主机的root账号

grep "Failed password for root" /var/log/secure | awk '{print $11}'| sort | uniq -c | sort -nr | more

爆破用户名字典

grep "Failed password" /var/log/secure|perl -e 'while($_=<>){/for(.*?) from/;print

"$1\n";}'|uniq -c | sort --nr

登录成功IP

grep "Accepted" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

登录成功的日期、用户名、IP:

grep "Accepted" /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

软件安装升级卸载日志:

more /var/log/yum.log

入侵排查思路(2)- 账号安全

用户信息文件: /etc/passwd

影子文件: /etc/shadow

who  #查看当前登录用户(tty本地登录,pts远程登录)

w   #查看系统信息,想知道某一时刻用户的行为

入侵排查:
查询特权用户(uid为0): awk -F: '$3==0{print $1}' /etc/passwd
查询可以远程登录的账号信息: awk '/\$1|\$6/{print $1}' /etc/passwd
禁用或删除多余可疑的账号:
usermod -L user #禁用账号,账号无法登录
userdel -r user #将删除user用户,并且将/home目录下的user目录一并删除

 

入侵排查思路(3)- 历史命令

root的历史命令: history

其他账号的历史命令: /home各账号目录下的 .bash_history

历史操作命令的清除: history -c

入侵排查:

进入用户目录:

cat .bash_history >> history.txt

入侵排查思路(4)- 端口&进程&开机启动项

检查异常端口:

使用netstat网络连接命令,分析可疑端口、IP、PID

netstat -antlp|more

检查异常进程:

使用ps命令,分析进程

ps aux | grep pid

使用 netset 和 ps 等命令时,可以灵活配合 grep命令获取信息

netstat -anp | grep -i listen

lsof -i:port #进程和端口对应关系

ps -aux查看进程信息(ps -ef 对于反弹shell,更便于发现)

检查开机启动项:

系统默认运行级别: vi /etc/inittab

开机启动配置文件: /etc/rc.local

入侵排查:

启动项文件:

more /etc/rc.local /etc/rc.d/rc[~].d

ls -l /etc/rc.d/rc3.d/

定时任务

crontab -l 列出某个用户cron服务的详细内容

crontab -r 删除某个用户 cront任务(删除所有的计划任务)

crontab -e 使用编辑器编辑当前的crontab文件

重点关注以下目录是否存在恶意脚本:

/var/spool/cron/*

/etc/crontab

/etc/cron.d/*

/etc/cron.daily/*

/etc/cron.hourly/*

/etc/cron.monthly/*

/etc/cron.weekly/

/etc/anacrontab

/var/spool/anacron/*

more /etc/cron.daily/* #查看目录下所有文件

系统服务

服务自启动:

修改 /etc/re.d/rc.local 文件,加入 /etc/init.d/httpd start

查询RPM包安装的服务:

chkconfig --list #查询服务自启动状态,可以看到所有的RPM包安装的服务

ps aux | grep crond #查看当前服务

系统在3和5级别下的启动项

中文环境

chkconfig --list | grep "3:启动\|5:启动"

英文环境

chkconfig --list | grep "3:on\|5:on"

查询源码包安装的服务:

查看服务安装位置,一般在 /user/local/

搜索 /etc/rc.d/init.d/ 查看是否存在

检查异常文件

查看敏感目录,如 /tmp目录下的文件,同时注意隐藏文件夹,以“..”为名称的文件夹具有隐藏属性

得到发现WEBSHELL、远控木马的创建时间,找出同一时间创建的文件

find /opt -iname "*" -atime 1 -type f #找出 /opt 下一天前访问过的文件

针对可疑文件可以使用 stat进行创建修改时间

安全运维 - Linux系统攻击回溯的更多相关文章

  1. 安全运维 - Linux系统攻击应急响应

    Linux 应急相应 - 总纲 应急准备: 制定应急策略 组建应急团队 其他应急资源 安全事件处理: 痕迹数据获取 分析.锁定攻击源删除可疑账号关闭异常进程.端口禁用相应异常开机启动项删除异常定时任务 ...

  2. 安全运维 - Windows系统攻击回溯

    Windows应急事件 病毒.木马.蠕虫 Web服务器入侵事件或第三方服务入侵事件 系统入侵事件 网络攻击事件(DDOS.ARP.DNS劫持等) 通用排查思路 获知异常事件基本情况 发现主机异常现象的 ...

  3. 安全运维 -- Linux服务器使用公私钥密匙证书登录

    环境:Ubuntu 16 前言 黑客遍地都是,ssh/pop3/ftp等爆破工具的流行让站长的日常运维工作量大大加重.Metasplot,Bruter等工具更是针对以上协议有专门 的破解方法,有字典破 ...

  4. 安全运维 - Linux系统维护

    命令相关 帮助信息命令:help.whatis.info.which.whereis.man 目录管理: cd.ls.mkdir.rm.chmod.mv 用户管理: groupadd.groupdel ...

  5. Linux运维工程师学习大纲

    linux运维课程大纲: Linux运维: Linux系统管理: Linux服务及安全管理: httpd,lamp,lnmp cache:memcached,varnish DB:mysql(mari ...

  6. Linux运维完全小白入门指南

    前几天整理了一下自己入门时候搜集的资料,一边整理一边回忆. 那时候我还是个小白,用虚拟机装了个CentOS系统来玩,但是总也装不上,在论坛上求助也没人理.半天终于有个人说在某网站看过这个问题,我又找了 ...

  7. 一个兼职DBA的数据库运维经验 小米科技 xx@xiaomi.com 2011

    一个兼职DBA的数据库运维经验 小米科技  xx@xiaomi.com 2011 内存扩容 16G->64G ,调大bp后,凌晨说监控物理内存有余量情况下,开吃swap,内存泄露措施1  定时 ...

  8. Linux运维人员如何学习python编程

    Linux运维人员如何学习python编程 从不会写代码,到自己独立能写代码解决问题 .这个问题很重要!盲目学习所谓的项目,最后 还是不会自己写代码解决问题.首先解决了独立能写代码解决问题,再通过项目 ...

  9. 马哥linux运维初级+中级+高级 视频教程 教学视频 全套下载(近50G)

    马哥linux运维初级+中级+高级 视频教程 教学视频 全套下载(近50G)目录详情:18_02_ssl协议.openssl及创建私有CA18_03_OpenSSH服务及其相关应用09_01_磁盘及文 ...

随机推荐

  1. 【转】uboot中的mmc命令

    转自:https://www.cnblogs.com/yxwkf/p/3855383.html 1:mmcinfo 输入: mmcinfo 显示结果:Manufacturer ID: 45OEM: 1 ...

  2. PAT Basic 1024 科学计数法 (20 分) Advanced 1073 Scientific Notation (20 分)

    科学计数法是科学家用来表示很大或很小的数字的一种方便的方法,其满足正则表达式 [+-][1-9].[0-9]+E[+-][0-9]+,即数字的整数部分只有 1 位,小数部分至少有 1 位,该数字及其指 ...

  3. Saving James Bond - Easy Version

    题目来源: 浙江大学在慕课网上开设的<数据结构>课,陈越老师.何钦铭老师主讲,课后作业的一道题. 题目描述: 题目思路: 这道题目本质上讲就是列出图的连通集,但是这个连通集的起点是有约束的 ...

  4. Netty学习--第一章 JDK自带的BIO

    一.什么是BIO BIO是传统的通信技术,在BIO通信模型中,客户端发送请求给服务器,服务器每次都是会单独创建一个线程来监控客户端的请求,会为每个客户端创建一个线程来处理请求.当前服务器处理完成后,通 ...

  5. 开发框架DevExtreme全新发布v19.1.3|附下载

    DevExtreme Complete Subscription是性能最优的 HTML5,CSS 和 JavaScript 移动.Web开发框架,可以直接在Visual Studio集成开发环境,构建 ...

  6. 与Swing的初见

    ---------------------------参考菜鸟教程的swing课程学习-------------------- Swing 是一个为Java设计的GUI工具包. Swing是JAVA基 ...

  7. 【SaltStack官方版】—— states教程, part 2 - 更复杂的states和必要的事物

    states tutorial, part 2 - more complex states, requisites 本教程建立在第1部分涵盖的主题上.建议您从此处开始. 在Salt States教程的 ...

  8. win10如何设置软件开机启动

    想要实现应用程序在所有的用户登录系统后都能自动启动,就把该应用程序的快捷方式放到“系统启动文件夹”里C:\ProgramData\Microsoft\Windows\Start Menu\Progra ...

  9. 货币系统 Money Systems

    母牛们不但创建了它们自己的政府而且选择了建立了自己的货币系统.由于它们特殊的思考方式,它们对货币的数值感到好奇. 传统地,一个货币系统是由1,,, 或 ,, 和 100的单位面值组成的. 母牛想知道有 ...

  10. Android and HTML5 开发手机应用(转载)

    作为一个WEB开发者,HTML5让我兴奋,因为它可以将桌面应用程序功能带入浏览器中.但在国内,看着到处横行的IE8版本以下的浏览器,觉得到能大规模使用HTML5技术的那天,还遥遥无期.但面对iOS及A ...