应急响应-Linux-文件痕迹排查

敏感目录

Linux系统铭感目录如下。

/tmp

• /tmp目录和命令目录/usr/bin /usr/sbin等经常作为恶意软件下载根目录及相关文件被替换的目录。文件名为crloger8的木马下载到/tmp目录下，如图所示

• 

~/.ssh及/etc/ssh

• 需要查看是否存在.ssh或者ssh文件

• • ls -la /home/once

• 这两个文件也经常作为一下后门配置的路径，需要重点检查，如图所示，可以看到后门的账号和密码

• 

时间点查找

find命令

• 通过列出工具日期内变动的文件，可发现相关的恶意软件。通过【find】命令可对某一段时间段内增加的文件进行查找。以下为常用的【find】命令。
• find：在指定目录下查找文件

• • -type b/d/c/p/l/f：查找块设备、目录、字符设备、管道、符号链接、普通文件。
  • -mtime -n +n：按文件更改时间来查找文件，-n指n天以内，+n指n天前。
  • -atime -n +n：按文件访问时间来查找文件，-n指n天以内，+n指n天前。
  • -ctime -n +n ：按文件创建时间来查找文件，-n指n天以内，+n指n天前。
  • 使用命令【find / -ctime 0 -name "*.sh"】，可查找一天内新增的sh文件，如图所示

  • 

• 在查看指定目录时，也可以对文件时间进行排序，图中是使用命令【ls -alt | head -n 10】查看排序后前10行的内容。

• • 

对文件的创建时间、修改时间、访问时间进行排查

• 使用【stat】命令可以详细查看文件的创建时间、修改时间、访问时间，若修改时间距离应急响应事件日期接近，有线性关联，说明可能被篡改。使用【stat commandi.php】命令查询文件commandi.php的时间信息，如图所示

• • 

特殊文件

• Linux系统中的恶意文件存在特定的设置、特定的关键字信息等。Linux系统中的几种特殊文件类型可以按照以下方法进行排查。

特殊权限文件

• 查找777权限的文件，使用命令【find /tmp -perm 777】,可发现存在三个文件

• • 

webshell查找

• webshell的排查可以通过分析文件、流量、日志进行，基于文件的命名特征和内容特征，相对操作性较高。通过分析文件的方法进行查找，可以从webshell中常出现的一些关键字着手，对文件进行筛选，缩小排查的范围。如，使用如图所示的语句，其中【find /var/www/ -name "*.php"】命令是查找“/var/www”目录下的所有php文件，【xargs egrep】及之后的命令是查询php文件是否包含后面的关键字。

• • 

• 除了初筛的方法，还可以使用findWebshell、Scan_Webshell.py等进行扫描排查。

系统命令进行排查 ls ps

• 对系统命令进行排查。【ls】和【ps】等命令很有可能被工具者恶意替换，所以可以使用【ls -alt /bin】命令，查看命令目录中相关系统命令的修改时间，从而进行排查，如图所示。

• • 

• 也可以使用【ls -alh /bin】命令查看相关文件的大小，若明显偏大，则文件很有可能被替换，如图所示。

• • 

Linux后门检测

• 可以使用第三方查杀工具（如chkrootkit、rkhunter）进行查杀。chkrootkit工具用来监测rootkit是否被安装到当前系统中。rookit是攻击者经常使用的后门程序。这类后门程序通常非常隐秘、不易被察觉，植入后，等于为攻击者建立了一条能够长时间入侵系统或可对系统进行实时控制的途径。因此，使用chkrootkit工具可定时监测系统，以保证系统的安全。

• • 若使用chkrootkit时，若出现infected，则说明检测出系统后门；若未出现，则说明未检出出系统后门，如图所示。也可以使用【chkrootkit -q | grep INFECTED】命令检测并筛选出存在infected的内容。

  • 

  • 使用rkhunter可以进行系统命令（Binary）监测，包括MD5校验、rootkit检测、本机敏感目录检测、系统配置检测、服务及套件异常检测、第三方应用版本检测等。排查情况如图所示。

  • 

  • 

排查SUID程序

• 即对于一些设置了SUID权限的程序进行排查，可以使用【find / -type f -perm -04000 -ls -uid 0 2>/dev/null】命令，如图所示。

• •