Linux应急响应-入侵排查

LINUX应急响应:

用户信息文件:/etc/passwd

用户信息查看有没有陌生用户

密码文件:/etc/shadow

入侵排查: awk ‘/\ $1|\$6/{print $1}’ /etc/shadow 查看可远程登录的账户

查看其他账户有没有存在sudo权限:more /etc/sudoers | grep “ALL=(ALL)”

查看空密码用户:awk -F : ‘lenght($2)==0{print $1}’ /etc/passwd

禁用或删除多余可疑的账户:userdel 用户名

userdel -r 用户名 把用户删除并且将/home目录一并删除

1.2历史命令:

查看root用户历史输入的命令:history

查看普通用户的历史命令：cat /home/用户名/.bash_history>>history.txt

1.3检测异常进程:top 实时进程 ps -aux查看进程

top命令各个值的表示:

发现可疑的进程的话可以通过 ls -l /proc/PID/exe 来查看文件对应的路径

file /proc/PID/exe 也可以查看对应文件

1.4检测异常端口:netstat -anltp

查看当前已经建立的TCP连接:netstat -anltp | grep ESTABLISHED

查看反弹连接:netstat -anltp | grep bash

1.5查看开机启动项：查看启动项:

/etc/rc.d/rc.local

/etc/re.d/rc[0~6].d

/etc/re[0~6].d

/etc/rc.local

1.6查看定时任务:crontab -l 删除所有的定时任务:crontab -r 查看某个用户的定时任务:crontab -u 用户名 -l

1.7检查服务

查询服务自启动状态:chkconfig --list

1.8检查异常文件

记录系统定时任务的相关日志:/var/log/cron

记录打印信息的日志:/var/log/cups

记录系统开机的时候内核自检信息:.var/log/dmesg

记录邮件信息：/var/log/mailog

记录系统重要信息：/var/log/message

记录登录错误日志:/vat/log/btmp 二进制文件需要用lastb -f命令查看

记录最后一次登录时间的日志:/var/log/lastlog

记录所有用户的登录注销信息:/var/log/wtmp 二进制文件lastb -f来查看

查看已经登录的用户信息:/var/log/utmp 用w命令来进行查看

查看验证和授权方面的信息:/var/log/secure

日志分析:

定位有多少ip在爆破主机root用户:

grep “Failed password for root” /var/log/secure | awk ’{print $11}’ | sort | uniq -c | sort -nr more

登录成功的ip有哪些

 grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more 

登录成功的日期和用户名ip：

 grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more