应急响应---入侵排查
Windows入侵排查
检查端口
命令:netstat -ano | findstr "ESTAB" 找到成功建立了三次握手的端口
查看进程
命令:tasklist
若发现有不认识、异常的端口可以根据PID找到异常文件
检查系统账号
1、检查服务是否有弱口令、远程管理端口是否对外开放
2、查看服务器是否有可疑账户,如:新增的账户等
1)cmd-->命令行
2)win+r-->lusrmgr.msc-->查询新增账号
3、检查服务是否存在隐藏账号、克隆账户-->查看注册表
4、检查日志,如:管理员的登陆时间、用户名存在是否异常
win+r-->eventvwr.msc-->事件查看器
查看启动项
1)任务管理器中查看
2) 注册表中查看
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
3)利用安全软件查看启动项
4)win+r-->goedit.msc 查看组策略
查看计划任务
1)利用控制面板中的任务计划查看计划属性
2)cmd-->schtasks.exe
查看服务自启动
win+r-->services.msc 查看服务状态和启动类型
查看系统相关信息
1)win+r-->systeminfo 查看系统信息
查找可疑文件
1)查看用户目录:C:\Users
2)win+r-->%UserProfile%\Recent 分析最近打开的可疑文件
3)回收站、浏览器下载目录、浏览器历史目录等查找可疑文件
4)最近有过修改的文件
Linux入侵排查
用户信息文件:/etc/passwd
用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后的 shell
注意:无密码只允许本机登陆,远程不允许登陆
1、查询特权用户 :awk -F: '$3==0{print $1}' /etc/passwd
影子文件 /etc/shadow
用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留
1、查询可以远程登录的账号 :awk '/\$1|\$6/{print $1}' /etc/shadow
控制用户的访问权限 /etc/sudoers
1、查看拥有sudo权限的用户:more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
2、禁用或删除多余及可疑的账号
usermod -L user 禁用帐号,帐号无法登录,/etc/shadow 第二栏为 ! 开头
userdel user 删除 user 用户
userdel -r user 将删除 user 用户,并且将 /home 目录下的 user 目录一并删除
历史命令:history
导出历史命令:cat .bash_history >> history.txt
检查端口:netstat
排查可疑端口:netstat -antlp | more
检查异常进程:ps
检查开机启动项
| 运行级别 | 含义 |
|---|---|
| 0 | 关机 |
| 1 | 单用户模式,可以想象为windows的安全模式,主要用于系统修复 |
| 2 | 不完全的命令行模式,不含NFS服务 |
| 3 | 完全的命令行模式,就是标准字符界面 |
| 4 | 系统保留 |
| 5 | 图形模式 |
| 6 | 重启动 |
查看运行级别
开机启动配置文件 :/etc/rc.local 和 /etc/rc.d/rc[0~6].d
检查定时任务
crontab
- -l :列出任务内容
- -r :删除用户的任务
- -e :编辑crontab文件
排查恶意脚本
- /var/spool/cron/*
- /etc/crontab
- /etc/cron.d/*
- /etc/cron.daily/*
- /etc/cron.hourly/*
- /etc/cron.monthly/*
- /etc/cron.weekly/
- /etc/anacrontab
- /var/spool/anacron/*
检查服务 ps aux
检查系统日志
| 日志文件 | 说明 |
|---|---|
| /var/log/cron | 记录了系统定时任务相关的日志 |
| /var/log/cups | 记录打印信息的日志 |
| /var/log/dmesg | 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息 |
| /var/log/mailog | 记录邮件信息 |
| /var/log/message | 记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件 |
| /var/log/btmp | 记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用lastb命令查看 |
| /var/log/lastlog | 记录系统中所有用户最后一次登录时间的日志,这个文件是二进制文件,不能直接vi,而要使用lastlog命令查看 |
| /var/log/wtmp | 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,不能直接vi,而需要使用last命令来查看 |
| /var/log/utmp | 记录当前已经登录的用户信息,这个文件会随着用户的登录和注销不断变化,只记录当前登录用户的信息。同样这个文件不能直接vi,而要使用w,who,users等命令来查询 |
| /var/log/secure | 记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中 |