Linux入侵排查

异常网络连接

netstat -anpt

image-20241025095401576

看下本地的重要端口比如22,3306等是否与不认识的外部ip建立连接,可以把外部链接的IP丢威胁情报分析

排查异常ip相关的进程名,比如bash -i等,说明反弹了shell

异常进程

1.查看进程

使用ps aux 或者 ps -ef 查看正在运行的进程,分析异常的进程名

image-20241025095742543

2.查看进程的相关文件

可以分析PID对应的进程文件 ls -l /proc/$PID/exe

image-20241025100340899

或者用lsof -p <pid>

比如发现了80端口是一个异常的进程

image-20241025103416893

lsof -p 26548就可以查看到这个进程的关联文件

image-20241025103520105

使用kill -9 26548 强制结束进程,或者pkill nginxpkill --ns 26548

系统服务

查看自启服务

systemctl list-unit-files --type=service | grep "enabled"

开机启动项

1.开机启动项配置

cat /etc/rc.local	# 是/etc/rc.d/rc.local的软链接

2.各启动级别的执行程序连接目录

ls -l /etc/rc.d/rc[0~6].d	# 数字代表不同的启动级别

image-20241025104847438

定时任务

1.相关文件

  • /etc/crontab,定时任务配置文件,默认只有root权限可以修改

  • /var/spool/cron/,这个目录存放了每个用户的定时任务,每个任务文件以创建定时任务的用户命名

  • /etc/cron.d/,这个目录存放的系统级的定时任务文件

  • /etc/anacrontab,存放系统任务,用来运行每日(daily),每周(weekly),每月(monthly)的定时任务。

  • /etc/cron.hourly/,/etc/cron.daily/,/etc/cron.weekly,/etc/cron.monthly分别存放着每天/每日/每周/每月要执行的定时任务

2.命令

  • crontab -l,查看当前用户的定时任务
  • crontab -e,编辑当前用户的定时任务
  • crontab -r,删除当前用户的定时任务

异常文件

根据时间点查找

find

  • -type d/l/f:指定类型查找,目录/符号链接/普通文件

  • -mtime -n +n:按照文件修改时间查找,-n表示n天内,+n表示n天前

  • -atime -n +n:按照文件访问时间查找

  • -ctime -n +n:按照文件创建时间查找

历史命令

1.查看文件

用户家目录下的.bash_history存放了执行过的命令

cat /home/user/.bash_history

2.命令

输入history命令可以查看执行过的命令列表。

需要注意的是history实时显示当前终端输入的命令,但是.bash_history通常在用户退出终端才会记录进去

history -c ,清除历史记录

系统日志

/var/log/目录下存放着日志文件

文件 描述
/var/log/secure 记录用户登录、sudo授权等安全相关信息
/var/log/btmp 记录所有登陆失败的信息
/var/log/wtmp 记录所有用户登录、退出的信息
/var/log/utmp 记录当前已登录的用户信息s
/var/log/lastlog 记录系统中所有用户最后一次登录时间

待补充...

posted @ 2024-10-25 12:58  Mast1n  阅读(12)  评论(0编辑  收藏  举报