linux下应急响应（基础知识记录补充）

之前的文章【linux 下应急响应（基础知识记录）】，这是一篇补充性文章，两篇可结合使用，后面会补充更新。

帐号安全#

linux 下攻击者一般不添加帐号，动作大

who
w
uptime
last

禁用或删除多余和可疑的帐号

sudo usermod --expiredate 1 username #禁止登录
sudo userdel -r username #删除帐号
awk -F: '($3 < 1000) {print $1,$3}' /etc/passwd #排查是否存在可疑帐号

历史命令#

history

各用户家目录的.bash_history 文件

端口#

分析可疑端口、ip、pid 等信息

netstat -tnlp

ss -tnlp

进程#

ps -aux

开机启动项#

systemctl list-unit-files --type=service #ubuntu

chkconfig --list | grep "3:启用\|3:开\|3:on\|5:启用\|5:开\|5:on" #centos

定时任务#

crontab -l

/var/spool/cron/*

/etc/cron/*

服务#

chkconfig —list #contos

日志#

日志默认存放位置：/var/log/*

配置文件：/etc/rsyslog.conf，/etc/syslog.conf

日志服务：service auditd status

last

lastlog

lastb

各位置日志信息如下：

日志位置	描述
/var/log/message	核心系统日志文件，包含系统启动引导、系统运行状态和大部分错误信息等。
/var/log/dmesg	核心启动日志，包含系统启动时硬件相关信息。
/var/log/auth.log 或 /var/log/secure	认证日志，记录成功的登录、失败的登录尝试和认证方式。
/var/log/spooler	UUCP 和 news 设备相关的日志信息。
/var/log/cron	定时任务日志信息。
/var/log/maillog	邮件活动记录。
/var/log/boot	系统引导日志。
/var/log/wtmp 和 /var/run/utmp	记录用户登录时间。(last)
/var/log/kern	内核的错误和警告数据记录，用于排除与定制内核相关的故障。
/var/log/btmp	记录错误登录日志，是二进制文件。（lastb）
/var/log/cups	记录打印信息的日志。
/var/log/lastlog	记录系统中所有用户最后一次登录时间的日志，是二进制文件。(lastlog)
/var/log/rpmpkgs	记录系统中安装各 rpm 包列表信息。

ssh 日志#

/var/log/auth.log #ubuntu

/var/log/secure

查看登陆成功的 ip

grep “Accepted “ /var/log/auth.log | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more #ubuntu

grep ‘Accepted’ /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr #centos

中间件日志#

C:\WINDOWS\system32\LogFiles #iis

/etc/httpd/logs/ #httpd

/var/log/apache2或/usr/local/apache/logs #apache，具体查看[httpd.co](https://httpd.co)nf文件中的定义路径

/var/log/nginx/access.log #nginx

localhost_access.log #tomcat，具体查看conf/logging.properties文件中的定义路径

$MW_HOME\user_projects\domains\<domain_name>\servers\<server_name>\logs\access.log #weblogic9，$MW_HOME weblogic安装目录

$MW_HOME\user_projects\domains\<domain_name>\<server_name>\access.log #weblogic8

文件#

可疑文件

find / -ctime -2 #查看72小时内新增的文件

find ./ -**mtime** 0 -name “*.jsp” #查看24小时内修改的文件

find / *.jsp -perm 4777 #查看权限为777的文件

find ./ -type f -perm /u+x -mtime -10 #查找最近10天内修改过的具有可执行权限的文件

安全设备#

#态势感知 #蜜罐 #防火墙 #ips #ids #waf

参考#

https://github.com/Blue-number/Security/blob/9ade37050b1f8e164208191545d457d14a1e341d/1earn/Security/BlueTeam/%E5%BA%94%E6%80%A5.md#%E6%83%85%E6%8A%A5%E4%B8%AD%E5%BF%83

https://github.com/Lorna-Dane/Blue-Team/blob/8e0e2e9dde536bc3941b56f915165db764d7119e/%E5%BA%94%E6%80%A5/linux%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94%E6%89%8B%E5%86%8C.md

资源#

al0ne/LinuxCheck

Linux应急处置/信息搜集/漏洞检测工具，支持基础配置/网络流量/任务计划/环境变量/用户信息/Services/bash/恶意文件/内核Rootkit/SSH/Webshell/挖矿文件/挖矿进程/供应链/服务器风险等13类70+项检查

Shell1810394