文章目录
0x00 介绍
- 0x00 介绍
- 0x01 入侵排查思路
- 1.1 账号安全
- 常用的查询命令
- 入侵排查思路
- 1.2 历史命令
- 常用的查询命令
- 入侵排查思路
- 1.3 检查异常端口
- 1.4 检查异常进程
- 1.5 检查开机启动项
- 常用的查询命令
- 入侵排查思路
- 1.6 检查定时任务
- 常用的查询命令
- 入侵排查思路
- 1.7 检查系统日志
- 摘抄
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
第一步 用户信息文件
cat /etc/passwd
-----------------------------------------
root:x:0:0:root:/root:/bin/bash
account:password:UID:GID:GECOS:directory:shell
-----------------------------------------------
用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后的 shell
注意:无密码只允许本机登陆,远程不允许登陆
第二步 查看shadow文件
cat /etc/shadow
----------------------------------------------------------
root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留
----------------------------------------------
第三步 查看用户登录情况
who 查看当前登录用户(tty 本地登陆 pts 远程登录)
w 查看系统信息,想知道某一时刻用户的行为
uptime 查看登陆多久、多少用户,负载状态
第一步 查询特权用户特权用户(uid 为0)
awk -F: '$3==0{print $1}' /etc/passwd
第三列是uid的值,过滤uid=0的,输出
第二步 查询可以远程登录的帐号信息
awk '/\$1|\$6/{print $1}' /etc/shadow
过滤出来存在密码的用户信息
第三步 除root帐号外,其他帐号是否存在sudo权限。 如非管理需要,普通帐号应删除sudo权限
more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
第四步 禁用或删除多余及可疑的帐号
usermod -L user 禁用帐号,帐号无法登录,/etc/shadow 第二栏为 ! 开头
userdel user 删除 user 用户
userdel -r user 将删除 user 用户,并且将 /home 目录下的 user 目录一并删除
通过 .bash_history 文件查看帐号执行过的系统命令
1、root 用户的历史命令
histroy
2、打开 /home 各帐号目录下的 .bash_history,查看普通帐号执行的历史命令。
为历史的命令增加登录的 IP 地址、执行命令时间等信息:
1)保存1万条命令
sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile
2)在/etc/profile的文件尾部添加如下行数配置信息:
######jiagu history xianshi#########
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "
shopt -s histappend
export PROMPT_COMMAND="history -a"
######### jiagu history xianshi ##########
3)source /etc/profile 让配置生效
生成效果: 1 2018-07-10 19:45:39 192.168.204.1 root source /etc/profile
3、历史操作命令的清除:history -c
但此命令并不会清除保存在文件中的记录,因此需要手动删除 .bash_profile 文件中的记录。
进入用户目录下,导出历史命令。 cd /home或者root根目录下 cat .bash_history >> history.txt
第一步 使用 netstat 网络连接命令,分析可疑端口、IP、PID
netstat -antlp | more
第二步 查看下 pid 所对应的进程文件路径,
运行 ls -l /proc/$PID/exe 或 file /proc/$PID/exe($PID 为对应的 pid 号)
使用 ps 命令,分析进程
ps aux | grep pid
ps aux | grep pts
ps aux | grep tty
第一步 了解系统运行级别示意图:
运行级别含义0关机1单用户模式,可以想象为windows的安全模式,主要用于系统修复2不完全的命令行模式,不含NFS服务3完全的命令行模式,就是标准字符界面4系统保留5图形模式6重启动
第二步 查看运行级别命令 runlevel 
第三步 配置文件查看
https://moments.blog.csdn.net/article/details/100107530
启动项文件:
more /etc/rc.local
/etc/rc.d/rc[0~6].d
ls -l /etc/rc.d/rc3.d/
方法一:通过crontab 创建计划任务
基本命令
crontab -l 列出某个用户cron服务的详细内容
Tips:默认编写的crontab文件会保存在 (/var/spool/cron/用户名 例如: /var/spool/cron/root
crontab -r 删除每个用户cront任务(谨慎:删除所有的计划任务)
crontab -e 使用编辑器编辑当前的crontab文件
如:*/1 * * * * echo "hello world" >> /tmp/test.txt 每分钟写入文件
方法二 :利用 anacron 命令实现异步定时任务调度
使用案例:每天运行 /home/backup.sh 脚本:
vi /etc/anacrontab
-----------------
@daily 10 example.daily /bin/bash /home/backup.sh
------------------
当机器在 backup.sh 期望被运行时是关机的,anacron会在机器开机十分钟之后运行它,而不用再等待 7天。
入侵排查思路重点关注以下目录中是否存在恶意脚本
/var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*
小技巧:
more /etc/cron.daily/* 查看目录下所有文件
日志默认存放位置:/var/log/
查看日志配置情况:more /etc/rsyslog.conf
日志分析技巧:
https://blog.csdn.net/qq_41901122/article/details/121729999?spm=1001.2014.3001.5501
在该奋斗的岁月里, 对得起每一寸光阴。 于高山之巅, 方见大河奔涌于群峰之上, 更觉长风浩荡。
