HVV应急之Linux入侵排查
作者:admin | 时间:2021-4-4 20:30:28 | 分类:黑客技术 隐藏侧边栏展开侧边栏
0x01 序言
新一度的HVV开始了,总要碰见很多需要应急处置的终端需要查看,这里总结一下简单Linux入侵排查思路
0x02 常规命令
1.查看用户密码文件
>cat /etc/pwd
对应的含义为
account:password:UID:GID:GECOS:directory:shell 用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell
一般情况下新创建的用户都在后面几行
2.查看影子文件
>cat /etc/shadow
3.必备命令
who 查看当前登录用户(tty本地登陆 pts远程登录) w 查看系统信息,想知道某一时刻用户的行为 uptime 查看登陆多久、多少用户,负载 usermod -L user 禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头 userdel user 删除user用户 userdel -r user 将删除user用户,并且将/home目录下的user目录一并删除
4.查看历史命令
>history
5.查看端口连接情况
>netstat -antlp | more
6.查看定时任务
crontab -l # 列出当前用户的计时器设置 crontab -r # 删除当前用户的cron任务
7.查询pid对应进程的位置
ls -ail /proc/7472
8.查询对应$PID进程信息
ps -aux|grep 7472
0x03 日志分析
结合师傅们的一些Linux入侵排查思路还有自己使用的一些tricks,偶然看到下面这个张图,思路清晰
操作命令
lastlog #查看所有用户最后一次登录信息
wtmp该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小也会越来越大,增加的速度取决于系统用户登录的次数,该日志文件可以用来查看用户的登录记录。
last -a
last -f /var/log/wtmp #指定查看wtmp文件
awk -F: '$3==0{print $1}' /etc/passwd #查询特权用户(uid=0)
awk '/$1|$6/{print $1}' /etc/shadow #查询允许远程登录的用户信息
more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)" #查看是否存在其它特权账号
<因为除了root用户没有其它特权账号,所以这里没有回显>
cat /var/log/secure| grep -i "accepted password" #通过日志寻登录信息
<没有截图>
最后
不清楚日志目录下的文件的作用请看下图
本文作者:Am1azi3ng
本文为安全脉搏专栏作者发布,转自:https://www.secpulse.com/archives/155198.html