蓝队应急响应----Linux排查
蓝队应急响应----Linux排查
目录
-
一、 Linux 敏感目录
- tmp介绍
- 开机自启动目录介绍
- 基于时间和权限的筛选
-
二、 可疑网络连接分析
-
三、 进程所对文件分析
-
四、 登录分析
-
五、异常用户分析与排查
-
六、历史执行命令排查
-
七、计划任务排查
-
八、开机启动项排查
-
九、异常$PATH 环境变量排查
一、敏感目录
1.1 tmp目录
在Linux系统下一切都是文件。 其中
/tmp
是一个特别的临时文件。每个用户都可以对它进行读写操作。因此一个普通用户可以对 /tmp 目录执行读写操作
,ls -t : 根据最后修改时间排序
1.2 开机自启动目录
查看开机启动项内容
/etc/init.d/
,恶意代码很有可能设置在开机自启动的位置。开机完成前最后读取的一个文件
/etc/rc.local
也会写一些开启启动程序
1.3 基于时间和权限的筛选
find 命令查找
查找24 小时内被修改的php文件
find ./ -mtime 0 -name "*.php"
查找72小时内新增的php文件
find ./ -ctime -2 -name "*.php"
查找 权限777权限的文件
find ./ -type f -perm 777
二、可疑网络连接分析与关闭
netstat
查看网络连接# 列出正在监听的tcp/udp 协议的连接 netstat -nlupt
查看正在建立连接的端口
netstat -pantul | grep "ESTABLISHED"
三、 进程所对应文件分析
ps aux
: 查看 所有进程消息
ps -ef
: 查看 所有进程消息
四、 异常登录分析
last
: 查看最近登录ip
lastlog
: 查看用户的最后登录时间
w
: 实时登录查看
who
: 实时登录查看
pkill -kill -t pts/1 : 踢某个终端的用户下线
(配合 who 命令使用)
uptime
: 当前在线用户查看
loginctl -a
: 显示所有会话及属性
loginctl kill-session ID
:踢某个session的用户下线
五、异常用户分析与排查
文件:
/etc/passwd
在linux 中
root用户为超级管理员
,可以在Linux 上做任何事情。在Linux 中
uid 为 0
或gid 为 0
,都为最高权限的用户或用户组去执行命令。# 查询所有用户 cat /etc/passwd # 查询所有用户的 uid和 gid cat /etc/passwd | awk -F : '{print $1,$3,$4}' # 查询uid=0 或者gid=0 的用户 cat /etc/passwd | awk -F : '{if($3==0 || $4==0) print $1,$3,$4}'
六、 历史命令
# 历史命令加上时间 vim /etc/profile # 最后一行加上 ,显示输入命令时间 export HISTTIMEFORMAT="%F %T `whoami` "
文件:
/root/.bash_history
命令:
history
特别注意: wget(远程下载) 、 ssh(远程连接)、 tar(解压)、 zip(解压压缩)、 sed -i (修改文件)
七、 计划任务
crontab
-e : 编辑
-l : 列出当前计划任务
-r : 删除计划任务
相关文件:
八、开机启动项
# centos7 中用的systemctl systemctl list-unit-files --type=service | grep enabled # centos6 中默认使用chkconfig chkconfig --list # 还有就是文件内容有没有恶意写入 vim /etc/rc.local
九、异常环境变量排查
环境变量
$PATH
# 查看当前环境变量 echo $PATH # 临时添加环境变量 export PATH=$PATH:/新添加的环境变量路径 #排查有没有恶意路径的环境变量