应急响应-Linux

应急响应-Linux

1.关键目录

/etc/passwd            记录用户信息
/etc/shadow            保存用户密码（hash）
/etc/crontab           定时任务文件
/etc/anacrontab        异步定时任务文件
/etc/rc.d/rc.local     开机启动项
/var/log/btmp          登录失败日志，使用last查看
/var/log/cron          定时任务执行日志
/var/log/lastlog       所有用户最近登录信息，使用lastlog查看
/var/log/secure        验证授权等日志
/var/log/wtmp          包含用户登录日志，使用last查看
/var/log/utmp          当前登录系统的用户信息，使用last查看

2.常用命令

top                    查看进程资源占用情况
ps -aux                查看进程
netstat -antpl         查看网络连接。之后根据pid, ls -alh /proc/pid查看其对应的可执行程序
lsof                   开放端口的进程
lastb                  登录失败日志
last                   系统用户最近登录信息
lastlog                显示所有用户最近的登录信息
crontab -l             查看定时任务
cat /etc/crontab       查看定时任务
history、cat ~/.bash_history         查看历史命令
ls -alt                查看当前目录下所有文件并排序 
stat                   查看文件夹详细信息

通过日志查找登录成功的IP
grep "Accept" /var/log/secure |awk '{print $11}' | sort | uniq -c | sort -nr | more 

定位有爆破行为的IP
grep "Failed*" /var/log/secure |awk '{print $11}' | sort | uniq -c | sort -nr | more 

查看隐藏进程
ps -ef | awk '{print }' | sort -n | uniq >1
ls /proc | sort -n | uniq >2
diff 1 2

3.校验软件包

rpm -Va、dpkg -vertify

S:表示文件对应大小不一致
M:表示文件对应mode不一致
5:表示文件对应ND5不一致
D:表示文件的major和minor不一致
L:表示文件符号连接内容不一致
U:表示文件owner不一致
G:表示文件group不一致
T:表示文件修改时间不一致

一般注重看S、M、5都有标记的文件。因为更新可能会导致大小啥的不一致，但三个全不一致就需要注意是否被篡改
可以使用busybox静态执行命令，防止rpm包被篡改后执行命令回显错误的情况