安全牛安全应急响应学习笔记
课程介绍
应急思想
保护现场(虚拟机快照、history日志copy)、
默认不可信(默认linux命令用自己的)、
靠谱人做事、
交叉检查、
自动化工具辅助、
备份数据重装系统、
全面排查总结反思
但凡接触、必有痕迹
应急响应流程PDCERF,
linux应急响应基本命令
SUID S权限
SGID X权限
SBID
stat//文件状态
atime //文件最后的访问时间
ctime //文件最后的权限更改时间
mtime //文件最后内容改变时间
net -antpleu //网络状态
ps aux //进程状态
top //动态显示进程状态
grep -i//忽略大小写
md5sum //md5值
strings //字符打印出来
tcpdump //抓包
-i //指定网口
-w //忽略抓包信息
tcp\udp //抓tcp\udp包
port //指定端口
host //指定域名
举例子:tcpdump -i ens33 -w test.pcap
find //查找
find 路径 -name 文件名
find 路径 -perm 权限
find 路径 文件 -mtime -n //查找文件修改时间在n天内
find的特殊功能是能够进行额外的动作,如上图的 find / -type f -name "test.txt" -exec rm {} \;命令
1) {} 代表的是由find找到的内容,会被放置到{}位置中
2) exec 一直到\;为止,代表find额外动作的开始(-exec)到结束(\;),在这中间的就是find指令内的额外动作,在本例中就是 rm ...
3) 因为; 在bash环境下是由特殊意义的,因此利用反斜杠来转义
举例子:find /etc/passwd -mtime -1 -exec ls -l {} \;
文件检查-历史命令检查
/root/.bash_history
history
/home/{name}/.bash_history
ls Ral *