!
也想出现在这里? 联系我们
创意广告

【网安面试】应急响应–LInux快速入门

应急响应基础

关键目录

文件名说明
/etc/passwd用户信息文件
/etc/crontab定时任务文件
/etc/anacrontab异步定时任务文件
/etc/rc.d/rc.local开机启动项
/var/log/btmp登录失败日志,用lastb命令查看
/var/log/cron定时任务执行日志
/var/log/lastlog所有用户最近登录信息,使用lastlog查看
/var/log/secure验证、授权等日志
/var/log/wtmp包含用户登录日志、使用last命令查看
/var/log/utmp当前登录系统的用户信息,使用last命令查看
last: 阅读的wtmp文件 lastb:阅读的btmp文件 lastlog:阅读所有用户最近登录信息

常用命令

查看进程资源占用: top

图片[1]-【网安面试】应急响应–LInux快速入门-安全小天地

查看进程: ps -aux

ps -aux是一个Linux/Unix命令,用于显示当前系统中所有进程的详细信息。其中,参数的含义如下:

  • a:显示所有进程,包括其他用户的进程。
  • u:以用户为主的格式显示进程信息,包括进程的用户、CPU占用率、内存占用率、启动时间等。
  • x:显示没有控制终端的进程。

综合起来,ps -aux命令可以显示当前系统中所有进程的详细信息,包括其他用户的进程,以用户为主的格式显示进程信息,以及显示没有控制终端的进程。

图片[2]-【网安面试】应急响应–LInux快速入门-安全小天地

查看网络连接: netstat -antpl

netstat -antpl是一个Linux/Unix命令,用于显示当前系统中所有网络连接的详细信息。其中,参数的含义如下:

  • a:显示所有连接,包括正在监听的和已建立的连接。
  • n:以数字形式显示IP地址和端口号,而不是主机名和服务名。
  • t:显示TCP协议的连接。
  • p:显示建立连接的进程信息。
  • l:显示正在监听的连接。

综合起来,netstat -antpl命令可以显示当前系统中所有TCP连接的详细信息,包括正在监听的和已建立的连接,以数字形式显示IP地址和端口号,显示建立连接的进程信息。

图片[3]-【网安面试】应急响应–LInux快速入门-安全小天地

然后根据pid,利用ls -alh /proc/pid命令查看其对应的可执行程序

开放端口的进程:lsof

图片[4]-【网安面试】应急响应–LInux快速入门-安全小天地
参数含义

lsof是一个Linux/Unix命令,用于显示当前系统中打开的文件和网络连接的详细信息。其中,常用的参数有:

  • -p:指定进程号,只显示该进程打开的文件和网络连接信息。lsof -p 1702
  • -i:显示网络连接信息。lsof -i:80
  • -u:显示用户的连接信息 lsof -u root

显示错误的尝试登录信息:lastb

显示系统用户最近的登录信息:last

现实所有的用户最近的登录信息:lastlog

查找符合条件的字符串:grep

图片[5]-【网安面试】应急响应–LInux快速入门-安全小天地

查看定时任务: crontab -l、 cat /etc/crontab

图片[6]-【网安面试】应急响应–LInux快速入门-安全小天地
图片[7]-【网安面试】应急响应–LInux快速入门-安全小天地

查看历史命令: historycat~/.bash_history

查看当前目录下所有文件并排序:ls -alt

校验RPM软件包:rpm -Va、dpkg -verify

S:表示对应文件的大小(Size)不一致;
M:表示对于文件的mode不一致;
5:表示对应文件的MD5不一致;
D:表示文件的major和minor号不一致;
L:表示文件的符号连接内容不一致;
U:表示文件的owner不一致;
G:表示文件的group不一致;T:表示文件的修改时间不一致;

如果只是出现S,5其实不需太过担心,但是同时出现SM5这种就要考虑是不是出问题了

查看文件(文件夹)详细信息: stat

stat ./
图片[8]-【网安面试】应急响应–LInux快速入门-安全小天地

查找当前目录下,指定天数内修改的指定类型(or名称)文件: find . / -mtime 0 - name *. jsp

查找当前目录下,指定天数内新增的指定类型(or名称)文件: find ./ -ctime 0 - name *.jsp

登录成功的IP

grep "Accepted" /var/log/secure | awk ' {print $11}' | sort | uniq -c | sort -nr | more
grep "Accepted" /var/log/auth.log | awk ' {print $11}' | sort | uniq -c | sort -nr | more
图片[9]-【网安面试】应急响应–LInux快速入门-安全小天地

定位有爆破行为的IP

grep "Failed password" /var/log/secure |awk ' {print $11}' | sort | uniq -c | sort -nr |more
grep "Failed password" /var/log/auth.log |awk ' {print $11}' | sort | uniq -c | sort -nr |more

查看隐藏进程

ps -ef | awk ' {print}' | sort -n | uniq >1
ls /proc | sort -n | uniq >2
diff 1 2

应急工具

Busybox

BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件。BusyBox 包含了一些简单的工具,例如ls、cat和echo等等,还包含了一些更大、更复杂的工具,例grep、find、mount以及telnet。有些人将 BusyBox 称为 Linux 工具里的瑞士军刀。

./busybox netstat -antpl

官网:[https: //busybox.net/]

chkrootkit

chkrootkit是一个linux下检RootKit的脚本。

chkrookit -n

官网:[http: / /www.chkrootkit.org/]

Chkrootkit安装:
下载源码:ftp://ftp.pangeia.com. br/pub/seg/pac/chkrootkit.tar. gz2
解压后执行make进行编译,就可以使用了。
./chkrootkit | grep INFECTED
一般直接运行,一旦有INFECTED,说明可能被植入了RootKit

Rkhunter

rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查。

rkhunter --checkall -- sk

Webshell查杀工具
官网:[https: / /www.shellpub.com/]


「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持! 安全小天地 - 公众号 - 渗透云记
© 版权声明
THE END
喜欢就支持一下吧
点赞11 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容