32、应急响应——linux

文章目录

  • 一、linux进程排查
  • 二、linux文件排查
  • 三、linux用户排查
  • 四、linux持久化排查
    • 4.1 历史命令
    • 4.2 定时任务排查
    • 4.3 开机启动项排查
  • 五、linux日志分析
  • 六、工具应用

一、linux进程排查

  1. 查看资源占用:top
  2. 查看所有进程:ps -ef
  3. 根据进程PID查看进程详细信息:lsof -p PID
  4. 查看启动时间:ps -p PID -o lstart
  5. 对于一些异常文件,初步判断,可以用strings显示里面的可读字符串:
    32、应急响应——linux_第1张图片
  6. 查看进程可执行文件:ls -al /proc/PID/exe
  7. 查看进程树:pstree

二、linux文件排查

  1. 查找根目录下,修改时间小于1天的文件:find / -mtime -1

    mtime可以对应为mmin指修改分钟,m意为modify,相应可改为ctime(create time),atime(access time)·

  2. 也可结合文件名进一步查找:find /var/www/html/ -mtime -1 -name *.php
  3. 查看系统命令是否存在异常,如大小、修改时间、创建时间等:ls -altS /usr/sbin | head -30
  4. 查看当前已建立的TCP连接:netstat -antulp | grep ESTABLISHED
  5. 查看反弹连接:netstat -antulp | grep bash
  6. 查看本机开放的端口:netstat -antulp
  7. 查看某一端口的具体应用:lsof -i:22
    在这里插入图片描述

三、linux用户排查

  1. 查看uid或gid为0的用户:grep :0 /etc/passwd
    32、应急响应——linux_第2张图片
  2. 查看passwd文件的最后修改记录:stat /etc/passwd
  3. 统计所有用户的shell相关信息:cat /etc/passwd | awk -F:'{print $7}' | sort | uniq -c
    32、应急响应——linux_第3张图片
  4. 重点查看有登录权限的用户:cat /etc/passwd | grep bash
  5. 查看用户登录时间:last
  6. 查看允许sudo的用户:more /etc/sudoers | egrep -v "^#|^$"
    32、应急响应——linux_第4张图片
    继续查找wheel组包含的用户:grep wheel /etc/group
    在这里插入图片描述

四、linux持久化排查

4.1 历史命令

  • linux因为其命令行的特殊性,可以通过history 命令来查看用户之前的操作;
  • history记录位于用户home目录下的.bash_history文件中;
  • 可以直接cat ~/.bash_history查看历史记录。

4.2 定时任务排查

命令:crontab -l,定时任务还应检查以下文件和文件夹:
32、应急响应——linux_第5张图片

4.3 开机启动项排查

linux开机有多种运行级别,不同级别下加载的启动文件也不相同。

32、应急响应——linux_第6张图片
查看当前启动级别:runlevel,不同启动项会加载不同启动文件,应检查下述文件或文件夹:

32、应急响应——linux_第7张图片

五、linux日志分析

linux使用rsyslog管理日志,通常关注的日志有:
32、应急响应——linux_第8张图片
定位有多少IP在爆破主机的root账号:

在这里插入图片描述
定位有哪些IP在爆破:

32、应急响应——linux_第9张图片
32、应急响应——linux_第10张图片

六、工具应用

  • chkrootkit,用于检查rootkit隐藏,chkrootkit
  • rkhunter是基于unix的工具,可扫描rootkit,后门程序和可能的本地漏洞;
  • webshell检测工具,深信服EDR检测

你可能感兴趣的:(深信服SCSA-S认证,linux,运维,服务器)