Linux|应急响应入门之Linux分析排查( 二 )
查看文件时间属性: stat 文件名
使用ls -alh /etc/init.d // 查看开机启动项
进入开机启动项目录 , 对其进行筛选 。
针对可以文件可以使用**stat **进行创建修改时间、访问时间的详细查看 , 若修改时间距离时间日期接近 , 有线性关联 , 说明可以被篡改 。
如:stat apache2 查看文件详细信息 。
03文件分析-敏感文件信息主要针对新增文件分析:
查找24h内被修改的文件
find ./ -mtime 0 -name “*.php”
查找72h内新增的文件
find ./ -ctime -2 -name “‘*.php”
权限查找 , 在linux系统中 , 如果具有777权限 , 那么文件就很可疑 。
find ./ -iname “*.php” -perm 777 其中 -iname忽略大小写 , -perm用于设定筛选文件权限
find ./ -ctime -2 -name “‘*.txt” //查找72h内新增的txt文件 。
find ./ -iname “*.php” -perm 777 //查找最近新建的含.php文件的 , 具有最高权限的文件 。
新建立一个z.php文件 , 给予最高权限 。
再次进行筛选 。
04-网络连接分析【Linux|应急响应入门之Linux分析排查】在linux中可以使用netstat进行网络连接查看
netstat -Print network connections , rounting tables , interface statistics , masquerade connections , and multicast memberships
具体帮助信息查看 man netstat
常用命令 **netstat -pantl **查看处于tcp网络套接字相关信息
关闭未知连接使用** kill -9 pid **既可关闭 。
使用:netstat -pantl 查看处于tcp网络套接字相关信息
ip a 查看网络信息
发现可疑进程 , 使用 kill -9 + pid值 , 然后关闭进程 。
05-进程分析-进程所对文件使用ps命令 , 分析进程 。 根据netstat 定位出pid, 使用ps命令 , 分析进程
使用ps aux 查看你所有进程信息
ps aux | grep “22” 查看最近使用了22端口的进程 。
使用pid进行筛选
筛选 pid为647的 进程 。
查看端口未22的隐藏进程
06-登录分析-筛选异常登录在Linux做的操作都会被记录到系统日志中 , 对于登录也可以查看日志信息查看是否有异常登录
last命令记录着所有用户登录系统的日志 , 可以用来查找非授权用户的登录事件 , 而last命令的输出结果来源于**/var/log/wtmp**文件 , 稍有经验的入侵者都会删掉
/var/log/wtmp以清除自己行踪 , 但是还是会露出蛛丝马迹在此文件中的
last -i grep -h 0.0.0.0 查看登录日志 , 筛选非本地登录
last -i //查看登录日志 , 含登录ip地址 。
last -i grep -v 0.0.0.0 查看登录日志 , 筛选非本地登录
常见的用法:
who 查看当前登录用户(tty本地登陆 pts远程登录)
w 查看某一时刻用户的行为
uptime 查看有多少用户 , 以此确定是否存在异常用户
lastb 显示登录失败次数 , 判断是存在ssh爆破
last 显示用户最近登录信息 。
lastlog 登录成功记录
总结:本文主要总结了在遇到了Linux系统时 , 应急响应先从对敏感文件分析、敏感文件信息、网络连接分析、进程分析、异常登录记录进行分析 。
- Linux|电脑城卖的CPU是intel而不是AMD,和实体店不喜欢卖小米手机是一个道理
- 体验首款Linux消费级平板,原来芯片和系统全是国产
- 恶意软件|报告称 2021 年 Linux 的恶意软件样本数量增加了 35%
- Linux|假设苹果公司远程锁死国内的苹果手机怎么办?
- Linux|为什么国企要把电脑全部换成Linux环境?能不能从专业的角度分析一下?
- 徐汇区应急管理局搬迁啦!
- Linux|小米12对标iPhone?小屏旗舰之战谁能成为赢家
- pdf|网易「有道云笔记」Linux版上架
- 网易「有道云笔记」Linux版上架
- 闵行区应急局赴浦东新区应急局学习交流