0x01 序言

新一度的HVV开始了,总要碰见很多需要应急处置的终端需要查看,这里总结一下简单Linux入侵排查思路

0x02 常规命令

1.查看用户密码文件

>cat /etc/pwd

微信截图_20210318182234.png

对应的含义为

account:password:UID:GID:GECOS:directory:shell
用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell

一般情况下新创建的用户都在后面几行

微信截图_20210318182459.png


2.查看影子文件

>cat /etc/shadow

3.必备命令

who     查看当前登录用户(tty本地登陆  pts远程登录)
w       查看系统信息,想知道某一时刻用户的行为
uptime  查看登陆多久、多少用户,负载
usermod -L user    禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头
userdel user       删除user用户
userdel -r user    将删除user用户,并且将/home目录下的user目录一并删除

4.查看历史命令

>history

微信截图_20210318182906.png

5.查看端口连接情况

>netstat -antlp | more

微信截图_20210318183128.png

6.查看定时任务

crontab -l  # 列出当前用户的计时器设置
crontab -r  # 删除当前用户的cron任务

7.查询pid对应进程的位置

ls -ail /proc/7472

微信截图_20210318210524.png

8.查询对应$PID进程信息

ps -aux|grep 7472

微信截图_20210318210756.png

0x03 日志分析

结合师傅们的一些Linux入侵排查思路还有自己使用的一些tricks,偶然看到下面这个张图,思路清晰

微信截图_20210318183616.png

操作命令

lastlog           #查看所有用户最后一次登录信息

微信截图_20210318184032.png

wtmp该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小也会越来越大,增加的速度取决于系统用户登录的次数,该日志文件可以用来查看用户的登录记录。

last -a

微信截图_20210318203740.png

last -f /var/log/wtmp        #指定查看wtmp文件
awk -F: '$3==0{print $1}' /etc/passwd   #查询特权用户(uid=0)

微信截图_20210318203948.png

awk '/$1|$6/{print $1}' /etc/shadow    #查询允许远程登录的用户信息

微信截图_20210318204204.png

more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)"          #查看是否存在其它特权账号

微信截图_20210318204510.png

<因为除了root用户没有其它特权账号,所以这里没有回显>

cat /var/log/secure| grep -i  "accepted password"    #通过日志寻登录信息

<没有截图>

最后

不清楚日志目录下的文件的作用请看下图

微信截图_20210318204855.png

本文作者:Am1azi3ng

本文为安全脉搏专栏作者发布,转自:https://www.secpulse.com/archives/155198.html