Linux⼊侵排查

目录

⼊侵排查思路

⼀、账号安全

        基本使⽤:

who 查看当前登录⽤户(tty本地登陆 pts远程登录)

w 查看系统信息,想知道某⼀时刻⽤户的⾏为

uptime 查看登陆多久、多少⽤户,负载

⼊侵排查

⼆、历史命令

基本使⽤:

⼊侵排查:

三、端⼝

四、进程

 ⽇志分析技巧:


⼊侵排查思路

⼀、账号安全

        基本使⽤:

1、⽤户信息⽂件

cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
account:password:UID:GID:GECOS:directory:shell
⽤户名:密码:⽤户ID:组ID:⽤户说明:家⽬录:登陆之后shell
注意:⽆密码只允许本机登陆,远程不允许登陆

 2、影⼦⽂件

cat /etc/shadow
root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1Wpk
opY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
⽤户名:加密密码:密码最后⼀次修改⽇期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密
码过期之后的宽限天数:账号失效时间:保留

who 查看当前登录⽤户(tty本地登陆 pts远程登录)

w 查看系统信息,想知道某⼀时刻⽤户的⾏为

USER:显示登陆⽤户帐号名。⽤户重复登陆,该帐号也会重复出现。
TTY:⽤户登陆所⽤的终端。
FROM:显示⽤户在何处登陆系统。
LOGIN@:是LOGIN AT的意思,表示登陆进⼊系统的时间。
IDLE:⽤户空闲时间,从⽤户上⼀次任务结束后,开会记时。
JCPU:⼀终端代号来区分,表示在摸段时间内,所有与该终端相关的进程任务所耗费的CPU时间。
PCPU:指WHAT域的任务执⾏后耗费的CPU时间。
WHAT:表示当前执⾏的任务。

uptime 查看登陆多久、多少⽤户,负载

04:03:58 up         10 days, 13:19,         1 user, load average:         0.54, 0.40, 0.20

当前时间 04:03:58
系统已运⾏的时间 10 days, 13:19
当前在线⽤户 1 user
平均负载:0.54, 0.40, 0.20,最近1分钟、5分钟、15分钟系统的负载

⼊侵排查

1、查询特权⽤户特权⽤户(uid 为0)

awk -F: '$3==0{print $1}' /etc/passwd

2、查询可以远程登录的帐号信息

awk '/\$1|\$6/{print $1}' /etc/shadow

3、除root帐号外,其他帐号是否存在sudo权限。如⾮管理需要,普通帐号应删除sudo权限

more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

⼆、历史命令

基本使⽤:

        通过.bash_history查看帐号执⾏过的系统命令

1、root的历史命令

history

打开/home各帐号⽬录下的.bash_history,查看普通帐号的历史命令 为历史的命令增加登录的IP地址、执⾏命令时间等信息:

1)保存1万条命令

vim /etc/profile
sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g'

2)######jiagu history xianshi######### USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'` if [ "$USER_IP" = "" ] then USER_IP=`hostname` fi export HISTTIMEFORMAT="%F %T $USER_IP `whoami` " shopt -s histappend export PROMPT_COMMAND="history -a" ######### jiagu history xianshi ##########

######jiagu history xianshi#########
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "
shopt -s histappend
export PROMPT_COMMAND="history -a"
######### jiagu history xianshi ##########

3)source /etc/profile让配置⽣效

3、历史操作命令的清除:history -c 但此命令并不会清除保存在⽂件中的记录,因此需要⼿动删除.bash_profile⽂件中的记录。

⼊侵排查:

进⼊⽤户⽬录下

cat .bash_history >> history.txt

三、端⼝

使⽤netstat ⽹络连接命令,分析可疑端⼝、IP、PID

netstat -antlp|more

查看下pid所对应的进程⽂件路径, 运⾏

ls -l /proc/$PID/exe
或
file /proc/$PID/exe($PID 为对应的pid 号)

四、进程

使⽤ps命令,分析进程

ps aux | grep pid号

系统⽇志

        ⽇志默认存放位置:

/var/log/

        查看⽇志配置情况:

more /etc/rsyslog.conf
日志文件说明
/var/log/cron记录了系统定时任务相关的⽇志
/var/log/cups记录打印信息的⽇志
/var/log/dmesg记录了系统在开机时内核⾃检的信息,也可以使⽤dmesg命令直接查看内核⾃检信息
/var/log/mailog记录邮件信息
/var/log/message记录系统重要信息的⽇志。这个⽇志⽂件中会记录Linux系统的绝⼤多数重要信息,如 果系统出现问题时,⾸先要检查的就应该是这个⽇志⽂件
/var/log/btmp记录错误登录⽇志,这个⽂件是⼆进制⽂件,不能直接vi查看,⽽要使⽤lastb命令查 看
/var/log/lastlog记录系统中所有⽤户最后⼀次登录时间的⽇志,这个⽂件是⼆进制⽂件,不能直接vi, ⽽要使⽤lastlog命令查看
/var/log/wtmp永久记录所有⽤户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样 这个⽂件也是⼀个⼆进制⽂件,不能直接vi,⽽需要使⽤last命令来查看
/var/log/utmp记录当前已经登录的⽤户信息,这个⽂件会随着⽤户的登录和注销不断变化,只记录 当前登录⽤户的信息。同样这个⽂件不能直接vi,⽽要使⽤w,who,users等命令来查询
/var/log/secure记录验证和授权⽅⾯的信息,只要涉及账号和密码的程序都会记录,⽐如SSH登录, su切换⽤户,sudo授权,甚⾄添加⽤户和修改⽤户密码都会记录在这个⽇志⽂件中

 ⽇志分析技巧:

1、定位有多少IP在爆破主机的root帐号:

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c |
sort -nr | more

定位有哪些IP在爆破:

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-
9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.
(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

爆破⽤户名字典是什么?

 grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print
"$1\n";}'|uniq -c|sort -nr

2、登录成功的IP有哪些:

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

登录成功的⽇期、⽤户名、IP:

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

3、增加⼀个⽤户kali⽇志

posted @   白芳草  阅读(278)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· 一个费力不讨好的项目,让我损失了近一半的绩效!
· 清华大学推出第四讲使用 DeepSeek + DeepResearch 让科研像聊天一样简单!
· 实操Deepseek接入个人知识库
· CSnakes vs Python.NET:高效嵌入与灵活互通的跨语言方案对比
· Plotly.NET 一个为 .NET 打造的强大开源交互式图表库
点击右上角即可分享
微信分享提示