Linux分析排查

Linux分析排查

1. 文件分析---敏感文件

   1.1 Linux系统下一些皆文件，其中/tmp是一个特别的临时目录文件，每个用户都可以对它进行读写操作。因此一个普通用户可以对/tmp目录执行读写操作。

2. 文件分析---敏感文件信息

   2.1 查看开机启动项内容/etc/init.d/，恶意代码很有可能设置在开机自启动的的位置

   2.2 使用ls -alh | head -n 10 筛选前十个文件查看是否异

   2.3 新增文件分析：

   ​ 2.3.1 查找24小时内被修改过的文件

   ​ Find ./ -mtime 0 -nam “*.php”

   2.3.2 查找72消失内新增的文件

   ​ Find / -ctime 2 -name “*php”

   ​ 2.3.3 权限查找，如果具有777权限，那么文件很可疑

   ​ Find ./ iname “*php” -pcrm 777

3. 进程分析---网络连接分析

   3.1 在Linux中可以使用netstat进行网络连接查看

   3.2 常用命令netstat -pantl 查看处于tcp网络套接字相关信息

   3.3 kill -9 pid关闭未知连接

4. 进程分析---进程所对文件

   4.1 在Linux中可以受用ps查看进程相关信息。

   4.2 使用ps -aux查看所有进程信息

   4.3 使用ps -aux | grep pid筛选出具体PID的进程信息，lsof -i:d端口号 也可以实现类似功能

5. 登陆分析

   5.1 在Linux做的操作都会被记录到系统日志中，对于登陆也可以查看日志信息查看是否有登陆异常

   5.2 last命令last – i | grep -v 0.0.0.0 查看登录日志，筛选非本地登陆。

   5.3 w命令 实时查看

6. 异常用户分析排查

   6.1 在Linux中root用户是一个无敌的存在，可以在Linux上做任何事情。查看passwd文件是否还有uid为0的用户

7. 在Linux系统中默认会记录之前执行的命令 /root/bash_history文件中。

   7.1 用户可以使用cat /root/.bash_history进行查看或者使用history命令进行查看

   7.2 特别注意：wget、ssh、tar zip类命令等

8. 在Linux系统中可以使用命令crontab进行计划任务的设定

   8.1 其中-e可以用来编辑设定计划任务，-l 可以用来查看当前计划任务，-d可以用来删除计划任务

9. $PATH变量异常

   9.1 决定了shell将到哪些目录中寻找命令或程序，PATH的值是一系列目录，当你运行一个程序时，Linux在这些目录下进行搜寻编译链接。

   9.2 修改PATH export PATH=$PATH:/usr/locar/new/bin 本次终端中有效，重启后无效。在/etc/profile或/home/.bashrc(source ~/.bashrc)才能永久生效。

10. 后门排查---rkhunter

    10.1 rkhunter具有以下功能：系统命令检测、md5校验、rookit检测、本机敏感目录、系统配置异常检测