banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

在Linux下的應急響應(基礎知識記錄補充)

之前的文章【linux 下應急響應(基礎知識記錄)】,這是一篇補充性文章,兩篇可結合使用,後面會補充更新。

帳號安全#

linux 下攻擊者一般不添加帳號,動作大

who
w
uptime
last

禁用或刪除多餘和可疑的帳號

sudo usermod --expiredate 1 username #禁止登錄
sudo userdel -r username #刪除帳號
awk -F: '($3 < 1000) {print $1,$3}' /etc/passwd #排查是否存在可疑帳號

歷史命令#

history

各使用者家目錄的.bash_history 文件

端口#

分析可疑端口、ip、pid 等信息

netstat -tnlp

ss -tnlp

進程#

ps -aux

開機啟動項#

systemctl list-unit-files --type=service #ubuntu

chkconfig --list | grep "3:啟用\|3:開\|3:on\|5:啟用\|5:開\|5:on" #centos

定時任務#

crontab -l

/var/spool/cron/*

/etc/cron/*

服務#

chkconfig —list #contos

日誌#

日誌默認存放位置:/var/log/*

配置文件:/etc/rsyslog.conf,/etc/syslog.conf

日誌服務:service auditd status

last

lastlog

lastb

各位置日誌信息如下:

日誌位置描述
/var/log/message核心系統日誌文件,包含系統啟動引導、系統運行狀態和大部分錯誤信息等。
/var/log/dmesg核心啟動日誌,包含系統啟動時硬件相關信息。
/var/log/auth.log 或 /var/log/secure認證日誌,記錄成功的登錄、失敗的登錄嘗試和認證方式。
/var/log/spoolerUUCP 和 news 設備相關的日誌信息。
/var/log/cron定時任務日誌信息。
/var/log/maillog郵件活動記錄。
/var/log/boot系統引導日誌。
/var/log/wtmp 和 /var/run/utmp記錄使用者登錄時間。(last)
/var/log/kern內核的錯誤和警告數據記錄,用於排除與定制內核相關的故障。
/var/log/btmp記錄錯誤登錄日誌,是二進制文件。(lastb)
/var/log/cups記錄打印信息的日誌。
/var/log/lastlog記錄系統中所有使用者最後一次登錄時間的日誌,是二進制文件。(lastlog)
/var/log/rpmpkgs記錄系統中安裝各 rpm 包列表信息。

ssh 日誌#

/var/log/auth.log #ubuntu

/var/log/secure

查看登陸成功的 ip

grep “Accepted /var/log/auth.log | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more #ubuntu

grep ‘Accepted’ /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr #centos

中間件日誌#

C:\WINDOWS\system32\LogFiles #iis

/etc/httpd/logs/ #httpd

/var/log/apache2或/usr/local/apache/logs #apache,具體查看[httpd.co](https://httpd.co)nf文件中的定義路徑

/var/log/nginx/access.log #nginx

localhost_access.log #tomcat,具體查看conf/logging.properties文件中的定義路徑

$MW_HOME\user_projects\domains\<domain_name>\servers\<server_name>\logs\access.log #weblogic9,$MW_HOME weblogic安裝目錄

$MW_HOME\user_projects\domains\<domain_name>\<server_name>\access.log #weblogic8

文件#

可疑文件

find / -ctime -2 #查看72小時內新增的文件

find ./ -**mtime** 0 -name*.jsp” #查看24小時內修改的文件

find / *.jsp -perm 4777 #查看權限為777的文件

find ./ -type f -perm /u+x -mtime -10 #查找最近10天內修改過的具有可執行權限的文件

安全設備#

#態勢感知 #蜜罐 #防火牆 #ips #ids #waf

參考#

https://github.com/Blue-number/Security/blob/9ade37050b1f8e164208191545d457d14a1e341d/1earn/Security/BlueTeam/%E5%BA%94%E6%80%A5.md#%E6%83%85%E6%8A%A5%E4%B8%AD%E5%BF%83

https://github.com/Lorna-Dane/Blue-Team/blob/8e0e2e9dde536bc3941b56f915165db764d7119e/%E5%BA%94%E6%80%A5/linux%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94%E6%89%8B%E5%86%8C.md

資源#

載入中......
此文章數據所有權由區塊鏈加密技術和智能合約保障僅歸創作者所有。