入侵排查思路 (1)- 日志分析

日志分析

默认日志路径: /var/log

查看日志配置情况: more /etc/rsyslog.conf

重要日志:

登录失败记录: /var/log/btmp

最后一次登录: /var/log/lastlog

登录成功记录: /var/log/wtmp

登录日志记录: /var/log/secure

日志分析常用命令:

grep -rn "hello,world!"

cat input_file | tail -n +  | head -n (显示1000-2999行)

find /etc -name init #在目录/etc中查找文件init

sed -i '153,$d' .bash_history  #删除历史操作记录,只保留前153行

grep -C  foo file  #显示file文件里匹配foo那行以及上下5行

定位有多少IP在爆破主机的root账号

grep "Failed password for root" /var/log/secure | awk '{print $11}'| sort | uniq -c | sort -nr | more

爆破用户名字典

grep "Failed password" /var/log/secure|perl -e 'while($_=<>){/for(.*?) from/;print

"$1\n";}'|uniq -c | sort --nr

登录成功IP

grep "Accepted" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

登录成功的日期、用户名、IP:

grep "Accepted" /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

软件安装升级卸载日志:

more /var/log/yum.log

入侵排查思路(2)- 账号安全

用户信息文件: /etc/passwd

影子文件: /etc/shadow

who  #查看当前登录用户(tty本地登录,pts远程登录)

w   #查看系统信息,想知道某一时刻用户的行为

入侵排查:
查询特权用户(uid为0): awk -F: '$3==0{print $1}' /etc/passwd
查询可以远程登录的账号信息: awk '/\$1|\$6/{print $1}' /etc/passwd
禁用或删除多余可疑的账号:
usermod -L user #禁用账号,账号无法登录
userdel -r user #将删除user用户,并且将/home目录下的user目录一并删除

 

入侵排查思路(3)- 历史命令

root的历史命令: history

其他账号的历史命令: /home各账号目录下的 .bash_history

历史操作命令的清除: history -c

入侵排查:

进入用户目录:

cat .bash_history >> history.txt

入侵排查思路(4)- 端口&进程&开机启动项

检查异常端口:

使用netstat网络连接命令,分析可疑端口、IP、PID

netstat -antlp|more

检查异常进程:

使用ps命令,分析进程

ps aux | grep pid

使用 netset 和 ps 等命令时,可以灵活配合 grep命令获取信息

netstat -anp | grep -i listen

lsof -i:port #进程和端口对应关系

ps -aux查看进程信息(ps -ef 对于反弹shell,更便于发现)

检查开机启动项:

系统默认运行级别: vi /etc/inittab

开机启动配置文件: /etc/rc.local

入侵排查:

启动项文件:

more /etc/rc.local /etc/rc.d/rc[~].d

ls -l /etc/rc.d/rc3.d/

定时任务

crontab -l 列出某个用户cron服务的详细内容

crontab -r 删除某个用户 cront任务(删除所有的计划任务)

crontab -e 使用编辑器编辑当前的crontab文件

重点关注以下目录是否存在恶意脚本:

/var/spool/cron/*

/etc/crontab

/etc/cron.d/*

/etc/cron.daily/*

/etc/cron.hourly/*

/etc/cron.monthly/*

/etc/cron.weekly/

/etc/anacrontab

/var/spool/anacron/*

more /etc/cron.daily/* #查看目录下所有文件

系统服务

服务自启动:

修改 /etc/re.d/rc.local 文件,加入 /etc/init.d/httpd start

查询RPM包安装的服务:

chkconfig --list #查询服务自启动状态,可以看到所有的RPM包安装的服务

ps aux | grep crond #查看当前服务

系统在3和5级别下的启动项

中文环境

chkconfig --list | grep "3:启动\|5:启动"

英文环境

chkconfig --list | grep "3:on\|5:on"

查询源码包安装的服务:

查看服务安装位置,一般在 /user/local/

搜索 /etc/rc.d/init.d/ 查看是否存在

检查异常文件

查看敏感目录,如 /tmp目录下的文件,同时注意隐藏文件夹,以“..”为名称的文件夹具有隐藏属性

得到发现WEBSHELL、远控木马的创建时间,找出同一时间创建的文件

find /opt -iname "*" -atime 1 -type f #找出 /opt 下一天前访问过的文件

针对可疑文件可以使用 stat进行创建修改时间

安全运维 - Linux系统攻击回溯的更多相关文章

  1. 安全运维 - Linux系统攻击应急响应

    Linux 应急相应 - 总纲 应急准备: 制定应急策略 组建应急团队 其他应急资源 安全事件处理: 痕迹数据获取 分析.锁定攻击源删除可疑账号关闭异常进程.端口禁用相应异常开机启动项删除异常定时任务 ...

  2. 安全运维 - Windows系统攻击回溯

    Windows应急事件 病毒.木马.蠕虫 Web服务器入侵事件或第三方服务入侵事件 系统入侵事件 网络攻击事件(DDOS.ARP.DNS劫持等) 通用排查思路 获知异常事件基本情况 发现主机异常现象的 ...

  3. 安全运维 -- Linux服务器使用公私钥密匙证书登录

    环境:Ubuntu 16 前言 黑客遍地都是,ssh/pop3/ftp等爆破工具的流行让站长的日常运维工作量大大加重.Metasplot,Bruter等工具更是针对以上协议有专门 的破解方法,有字典破 ...

  4. 安全运维 - Linux系统维护

    命令相关 帮助信息命令:help.whatis.info.which.whereis.man 目录管理: cd.ls.mkdir.rm.chmod.mv 用户管理: groupadd.groupdel ...

  5. Linux运维工程师学习大纲

    linux运维课程大纲: Linux运维: Linux系统管理: Linux服务及安全管理: httpd,lamp,lnmp cache:memcached,varnish DB:mysql(mari ...

  6. Linux运维完全小白入门指南

    前几天整理了一下自己入门时候搜集的资料,一边整理一边回忆. 那时候我还是个小白,用虚拟机装了个CentOS系统来玩,但是总也装不上,在论坛上求助也没人理.半天终于有个人说在某网站看过这个问题,我又找了 ...

  7. 一个兼职DBA的数据库运维经验 小米科技 xx@xiaomi.com 2011

    一个兼职DBA的数据库运维经验 小米科技  xx@xiaomi.com 2011 内存扩容 16G->64G ,调大bp后,凌晨说监控物理内存有余量情况下,开吃swap,内存泄露措施1  定时 ...

  8. Linux运维人员如何学习python编程

    Linux运维人员如何学习python编程 从不会写代码,到自己独立能写代码解决问题 .这个问题很重要!盲目学习所谓的项目,最后 还是不会自己写代码解决问题.首先解决了独立能写代码解决问题,再通过项目 ...

  9. 马哥linux运维初级+中级+高级 视频教程 教学视频 全套下载(近50G)

    马哥linux运维初级+中级+高级 视频教程 教学视频 全套下载(近50G)目录详情:18_02_ssl协议.openssl及创建私有CA18_03_OpenSSH服务及其相关应用09_01_磁盘及文 ...

随机推荐

  1. MySQL参数化有效防止SQL注入

    sql语句的参数化,可以有效防止sql注入 注意:此处不同于python的字符串格式化,全部使用%s占位 from pymysql import * def main(): find_name = i ...

  2. mongo配置

    cmd下操作 cd /d E:\MongoDB\bin 创建数据库: mongod --dbpath E:\MongoDB\data\db 验证是否成功,登陆localhost:27017 进入E:\ ...

  3. Linux Windos数据互传软件安装

    一.编译安装 root 账号登陆后,依次执行以下命令: cd /tmp wget http://www.ohse.de/uwe/releases/lrzsz-0.12.20.tar.gz tar zx ...

  4. 【LOJ#6036】[雅礼集训2017Day4]编码

    传送门 题意简述 判定 n 个含 ? 字符的二进制串是否存在一种把 0/1 填入 ? 中的方案使得任意两个串不具有前缀关系. (一个串最多一个 ?) Sol 二进制串 ,并且一个串最多一个 '?' 很 ...

  5. 关于mysql(Navicat premium软件中) 外键设置中“删除”和“更新”选项详解

    ON DELETE restrict(约束):当在父表(即外键的来源表)中删除对应记录时,首先检查该记录是否有对应外键,如果有则不允许删除. no action:意思同restrict.即如果存在从数 ...

  6. SweetAler弹框插件与分页器插件

    目录 SweetAlert插件 自定义分页器 使用Django向数据库批量插入数据 自定义分页器的思路 自定义分页器组件 SweetAlert插件 sweetalert是一款基于Bootstrap的专 ...

  7. 快速掌握Eclipse Plugin / RCP开发思想

    本文转载:https://my.oschina.net/drjones/blog/280337 引言 本文不是快速入门的文章,只面向有一定基础的开发人员,至少看这篇文章之前你应该了解什么是Eclips ...

  8. python-*args、**kargs用法

    可变位置参数: *args:是一个元组,传入的参数会被放进元组里.可变关键字参数: **kwargs:是一个字典,传入的参数以键值对的形式存放到字典里. def test1(*args): print ...

  9. HTML和CSS实现的透明登录框效果

    实现代码 HTML部分 <!DOCTYPE html> <html lang="en"> <head> <meta charset=&qu ...

  10. DI,依赖注入,给对象赋值 ,get,set

    DI,依赖注入,给对象赋值 ,get,set给对象赋值 2种方式:1.get.set默认无参构造方法给对象赋值 2.xml中有参构造器方法给对象赋值