【渗透测试入门】Linux应急响应(蓝队入门)

1.网络分析 netstat -pantl

查看tcp链接相关信息

--参数含义:

Print Network connections 。routing tables。interface statistics。masquerade connections。(无效链接)muticast memberships。(多播成员)

--Established:已建立连接

kill -9 pid

关闭可疑进程的链接

2.进程分析 ps -aux / lsof -i

联合 | grep 进行查找进程信息

grep -v 不要所选内容

3.登陆分析last -i / w

利用last -i | grep -v 0.0.0.0 排除本地登录

pts:(pseudo-terminal slave)远程链接后的“伪终端”

4.异常用户登录分析 /etc/passwd

cat /etc/passwd(用户信息文件) grep检查0:0(root权限即uid为0,gid也为0)

ls -l 监测/etc/passwd更改时间 ctfsc

--检测空密码用户awk -F <截断符号> <判断条件:'$x==条件 {print $y}'>

从第一个截断符号左边为编号1,依此类推。

-例如 查/etc/passwd的root权限用户

#cat /etc/passwd
aa:x:0:0...
...

#awk -F : '$3==0 {print $1}' /etc/passwd
//会显示上面那一条aa

-查/etc/shadow的空密码用户

若用户名后面是感叹号代表没密码。

awk -F: '$2=="!" {print $1}' /etc/shadow

5.历史命令分析history ,cat /root/.bash_history

注意关键词 :

wget(http / https) ssh (链接内网主机) tar zip

也要关注系统配置命令修改等 以防ps netstat的屏蔽

6.计划任务排查 crontab

crontab

参数:-l 查看计划任务 -r 删除计划任务 -e编辑设定计划任务

7.开机自启动项排查 /etc/init.d/

--状态查看/etc/init.d/ status

--启动服务 /etc/init.d/ start

--开机自启动、关闭自启动 :update-rc.d enable/disable

8.path变量异常

echo $PATH

--path修改

临时修改:

仅当前shell管用 export PATH=$PATH:/usr/local/new/bin 重启以后没有任何用

永久生效:

/etc/profile 或者 /home/.bashrc (source ~/.bashrc)永久生效 (~./是当前登录用户的主目录

9.后门排查 rkhunter --check

使用场景:

替换用户程序文件(也就是常用的ls pwd等命令的文件),通常这样的替换不会引起注意,且不容易排查,在用户程序中,通过添加私货,来达到维持权限的目的(配合其他攻击使用)

这类被替换的文件就叫 rootkit

rootkit简介

rootkit主要有两种类型:文件级别和内核级别。

文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等。文件级别的rootkit,对系统维护很大,目前最有效的防御方法是定期对系统重要文件的完整性进行检查,如Tripwire、aide等。

内核级rootkit: 是比文件级rootkit更高级的一种入侵方式,它可以使攻击者获得对系统底层的完全控制权,此时攻击者可以修改系统内核,进而截获运行程序向内核提交的命令,并将其重定向到入侵者所选择的程序并运行此程序。内核级rootkit主要依附在内核上,它并不对系统文件做任何修改。以防范

为主。

你可能感兴趣的:(linux,系统安全,ubuntu,安全,安全性测试)