蓝队应急响应----Linux排查

蓝队应急响应----Linux排查

目录

  • 一、 Linux 敏感目录

    • tmp介绍
    • 开机自启动目录介绍
    • 基于时间和权限的筛选
  • 二、 可疑网络连接分析

  • 三、 进程所对文件分析

  • 四、 登录分析

  • 五、异常用户分析与排查

  • 六、历史执行命令排查

  • 七、计划任务排查

  • 八、开机启动项排查

  • 九、异常$PATH 环境变量排查


一、敏感目录

1.1 tmp目录

在Linux系统下一切都是文件。 其中 /tmp 是一个特别的临时文件。每个用户都可以对它进行读写操作。因此一个普通用户可以对 /tmp 目录执行读写操作ls -t : 根据最后修改时间排序

1.2 开机自启动目录

查看开机启动项内容 /etc/init.d/ ,恶意代码很有可能设置在开机自启动的位置。

开机完成前最后读取的一个文件/etc/rc.local 也会写一些开启启动程序

1.3 基于时间和权限的筛选

find 命令查找

查找24 小时内被修改的php文件

find ./ -mtime 0  -name "*.php"

查找72小时内新增的php文件

find  ./ -ctime -2 -name "*.php"

查找 权限777权限的文件

find ./ -type f  -perm 777 

二、可疑网络连接分析与关闭

netstat 查看网络连接

# 列出正在监听的tcp/udp 协议的连接
netstat -nlupt

查看正在建立连接的端口

netstat -pantul | grep "ESTABLISHED"

三、 进程所对应文件分析

ps aux : 查看 所有进程消息

ps -ef : 查看 所有进程消息

四、 异常登录分析

last : 查看最近登录ip

lastlog : 查看用户的最后登录时间

w : 实时登录查看

who : 实时登录查看

pkill -kill -t pts/1 : 踢某个终端的用户下线(配合 who 命令使用)

uptime : 当前在线用户查看

loginctl -a : 显示所有会话及属性

loginctl kill-session ID :踢某个session的用户下线

五、异常用户分析与排查

文件:/etc/passwd

在linux 中 root用户为超级管理员 ,可以在Linux 上做任何事情。

在Linux 中 uid 为 0gid 为 0 ,都为最高权限的用户或用户组去执行命令。

# 查询所有用户
cat /etc/passwd

# 查询所有用户的 uid和 gid
cat /etc/passwd  |  awk  -F : '{print $1,$3,$4}'

# 查询uid=0 或者gid=0 的用户
cat /etc/passwd  |  awk  -F : '{if($3==0 || $4==0) print $1,$3,$4}'

六、 历史命令

# 历史命令加上时间
vim /etc/profile 
# 最后一行加上  ,显示输入命令时间

export HISTTIMEFORMAT="%F %T `whoami` "

文件: /root/.bash_history

命令: history

特别注意: wget(远程下载) 、 ssh(远程连接)、 tar(解压)、 zip(解压压缩)、 sed -i (修改文件)

七、 计划任务

crontab

-e : 编辑

-l : 列出当前计划任务

-r : 删除计划任务

相关文件:

八、开机启动项

# centos7 中用的systemctl
systemctl list-unit-files --type=service | grep enabled

# centos6 中默认使用chkconfig
chkconfig --list

# 还有就是文件内容有没有恶意写入
vim /etc/rc.local

九、异常环境变量排查

环境变量 $PATH

# 查看当前环境变量
echo $PATH

# 临时添加环境变量
export   PATH=$PATH:/新添加的环境变量路径

#排查有没有恶意路径的环境变量

posted @ 2024-04-09 13:43  内向是一种性格  阅读(95)  评论(0编辑  收藏  举报