🗒️应急响应
2023-12-8
| 2023-12-18
字数 866阅读时长 3 分钟
type
status
date
slug
summary
tags
category
icon
password
应急响应
  • 网页篡改
    • 黑页
    • 恶意跳转
  • 勒索病毒
    • 将客户的文件,数据进行加密
  • 挖矿病毒
    • 借助自身电脑的计算能力(cpu,gpu),进行资源获取
      • 门罗币
      • 屎币
      • 比特币
    • 外联———矿池———虚拟钱包的地址
  • web漏洞攻击
    • payload
  • 人员管理
    • wifi管理不当
    • 没有保安
    • 员工安全意识不足
      • 随意插U盘
      • 随意使用免费wifi
    • 钓鱼邮件

linux

1.账号安全

是否存在管理员不明确身份的账号
查看/etc/passwd、/etc/shadow,注:无密码用户默认仅能本地登录
查看uid为0的用户
awk -F : '$3==0 {print $1}' /etc/passwd
 
确认可远程账户是否设置强密码 禁用或删除多余账号
  • usermod -L user 禁用账号,始账号无法登陆,特点为第二栏,为!
  • userdel -r user 删除用户,并移除其家目录
      • 注意:尽量禁用,等待所有应急操作结束后在删除用户及目录

2.历史命令

查zsh、bash、sh、csh等对方操作系统有的终端都要看 重点检查运行的脚本、文件,如:后缀c out elf out sh
  • history命令
      • 每种终端都看
  • root目录下的/root/.bash_history (其他终端:.zsh_history)
  • 用户家目录下/home/username/.bash_history (其他终端:.zsh_history)

3.异常端口

netstat -antlp | grep ESTABLISH
netstat -ano
 
端口查看:
  • lsof -i:port
  • ls -al /proc/$PID/exe
  • file /proc/$PID/exe

4.查看异常进程

ps aux|grep $pid

5.检查开机启动项

开机自启文件夹:
/etc/rc[0-6].d /etc/rc.d/rc[0-6].d /etc/rc.local
如何筛选:
在rc* 这些目录下 可使用find命令筛选近期修改过或创建的文件
find /etc/rc* -type f -mtime -7 (查七天内的修改或创建的文件)

6.检查定时计划任务

当前用户的计划任务/var/spool/cron/crontabs/username
通过crontab -l 查看
查看系统级别的计划任务
cat /etc/crontab
重点排查/etc/cron.d/
notion image
notion image

7.检查服务

chkconfig --list
notion image
notion image

8.异常文件

①查看文件状态使用stat命令
stat 1.sh
②匹配查找文件生成时间
atime 1 -type f表示最近一天内被访问过的所有文件 -iname匹配所有文件名
find 目录 -atime 1 -iname "*" -type f
③检查隐藏文件或文件夹
ls -al

9.检查日志

目录:/var/log
查看哪些ip在爆破我们(查失败字段)(centos)
cat /var/log/secure|grep "Failed password for root"|awk '{print $11}'|sort|uniq
查看哪些ip成功登录了
cat /var/log/secure|grep "Accept"|awk '{print $11}'|sort|uniq
查看哪些ip爆破我们失败的次数
cat /var/log/secure|grep "Failed password for root"|awk '{print $11}'|wc -l
除此之外,/var/log/btmp记录登录错误,/var/log/lastlog等价
/var/log/wtmp记录用户登录、注销、重启、关机等事件,/var/log/lastlog命令可直接查
 
users、w、who,已经登录的信息
notion image

10.rootkit查杀

chkrootkit 网址http://www.chkrootkit.org/download/
使用方法: tar -zxvf chkrootkit.tar.gz cd chkrootkit-0.55 make sense ./chkrootkit
rkhunter 网址:https://sourceforge.net/projects/rkhunter/ 使用方法 tar -zxvf rkhunter-1.4.6.tar.gz cd rkhunter-1.4.6 ./installer.sh --install rkhunter -c

11.病毒查杀

clamav tar -zxvf clamav.tar.gz cd clamav make make install

12.webshell

河马https://www.shellpub.com/

13.linux检查脚本

github

14.rpmcheck

利用rpm自带-Va校验安全包
S 文件大小被改变 M 文件权限被改 5 md5校验值不对 D 设备中的代码改变 L 文件路径改变 U 用户属主改变 G 属组改变 T 修改时间
如何修复:
先删除被修改的命令,通过原始镜像重新复制
mv /bin/pwd /tmp/ rpm2cpio /mnt/cdrom/Packages/coreutils-8.22-24.el7_9.2.x86_64|cpio -idv ./bin/pwd
 
相关文章 :
网络安全
  • 安服
    • mysql,apche安全加固学习webshell流量分析和xss,upload bypass
    Loading...
    目录
    0%