《2024版Linux应急响应流程及实战演练.docx》由会员分享,可在线阅读,更多相关《2024版Linux应急响应流程及实战演练.docx(30页珍藏版)》请在第壹文秘上搜索。
1、1.inux应急响应流程演练手册目录1.inux应急响应流程演练手册4666791212历史命令.端口进程开机启动项定时任务.服务Rootkit查杀病毒查杀.三、webshell查杀14四、RPMCheCk检查14A、排查过程22C、清除病毒24D、漏洞修复241.inux应急响应流程演练手册当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些1.inUX
2、服务器入侵排查的思路。0x01入侵排查思路一、账号安全基本使用:1用户信息文件etcpasswdroot:x:0:0:root:/root:/bin/bashaccount:password:UID:GID:GECOS:directory:shell用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell注意:无密码只允许本机登陆,远程不允许登陆2、影子文件/etc/shadowroot:$6$oGsIPqh1.2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7qllWpkopYOUVQajBwUtID
3、pYxTCVv1/:16809:0:99999:7:用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留3、几个常用命令:who查看当前登录用户(tty本地登陆PtS远程登录)查看系统信息,想知道某一时刻用户的行为uptime查看登陆多久、多少用户,负载入侵排查:1、查询特权用户(uid为0)rootlocalhost#awk-F:,$3=0print$1/etcpasswd2、查询可以远程登录的帐号信息rootlocalhostawk/$1$6print$1),/etcshadow3、除root帐号外
4、,其他帐号是否存在sud。权限。如非管理需要普通帐号应删除sudo权限rootlocalhost-#more/etcsudoersgrep-v,,A#|A$grepA1.1.=(A1.1.)bash-4.3$sdo-listsudo-listsudo:unabletoresolvehosttheEther:ConnectiontimedoutMatchingDefaultsentriesforwww-dataontheEther:envreset,mailbadpasstsecurepath=usrlocalsbi:usrlocalbin:usrsbin:usrbin:/sbin:/binsn
5、apbinUserwww-datamayrunthefollowingcommandsontheEther:(A1.1.)NOPASSWD:varwwwhtmltheEpublichtmlxxxlogauditorxxx.py(root)NOPASSWD:varwwwhtmltheEhadevnullawk,print$NFsed-es/()/g,if$USER_IP”=thenUSER_IP=hostnamefiexporthisttimeformat=11%f%t$USER_工PWhoamishopt-ShistappendexportPROMPT_COMMAND=11history-a1
6、1#jiaguhistoryxianshi#3) )source/etc/profile让配置生效生成效果:12018-07-1019:45:39192.168.204.Irootsource/etc/profiIe3、历史操作命令的清除:history-c但此命令并不会清除保存在文件中的记录,因此需要手动删除.bash_profile文件中的记录。入侵排查:进入用户目录下:cat.bash_historyhistory,txt三、端口使用netstat网络连接命令,分析可疑端口、IP、PIDnetstat-antlpmore查看下Pid所对应的进程文件路径,运行Is-1/proc/$PID/
7、exe或file/proc/$PID/exe($PID为对应的Pid号)四、进程使用PS命令,分析进程psauxIgreppid五、开机启动项基本使用:系统运行级别示意图:0shutdown6reboot运行级别含义0关机1 单用户模式,可以想象为WindOWS的安全横式,主要用于系统修复2 不完全的命令行模式,不含NFS服务3 完全的命令行模式,就是标准字符界面4 系统保留图形模式查看运行级别命令runlevel系统默认允许级别Vietcinittabid=3:initdefault系统开机后直接进入哪个运行级别开机启动配置文件/etcrc.local/etcrc.d/rc061.d例子:当
8、我们需要开机启动自己的脚本时,只需要将可执行脚本丢在/etc/init.d目录下,然后在/etc/rc.d/rc*.d中建立软链接即可rootlocalhost-#In-s/etcinit.d/sshd/etcrc.d/re3.d/S100ssh此处SShd是具体服务的脚本文件,S100SSh是其软链接,S开头代表加载时自启动;如果是K开头的脚本文件,代表运行级别加载时需要关闭的。入侵排查:启动项文件:more/etcrc.localetcrc.drc06.dIs-1/etc/rc.drc3.d六、定时任务基本使用1利用crontab创建计划任务crontab-1列出某个用户CrOn服务的详细
9、内容Tips:默认编写的crontab文件会保存在(varspool/cronPAjri例如:varspool/cron/rootcrontab-r删除每个用户Cront任务(谨慎:删除所有的计划任务)crontab-e使用编辑器编辑当前的CrOntab文件如:*/1*echo11helIoworld/tmptest.txt每分钟写入文件2、利用anacron实现异步定时任务调度每天运行/home/backupsh脚本:vi/etcanacrontabdaily10example,dailybinbashhomebackup.sh当机器在backup.sh期望被运行时是关机的,anacron会
10、在机器开机十分钟之后运行它,而不用再等待7天。入侵排查重点关注以下目录中是否存在恶意脚本/varspool/cron/*/etccrontab/etccron,d*/etccron,daily/*/etccron.hourly/*/etccron,monthly/*/etccron,weekly/etcanacrontab/varspool/anacron/*小技巧:moreetccron.daily/*查看目录下所有文件七、服务服务自启动第一种修改方法:chkconfig-level运行级别独立服务名onoffchkconfig-level2345httpdon开启自启动chkconfigh
11、ttpdon(默认IeVeI是2345)第二种修改方法:修改/etcre.d/rc.local文件加入/etcinit.d/httpdStart第三种修改方法:使用Msysv命令管理自启动,可以管理独立服务和Xinetd服务。入侵排查1、查询已安装的服务:RQM包安装的服务:chkconfig-list查看服务自启动状态,可以看到所有的RPM包安装的服务psaux|grepcrond查看当前服务系统在3与5级别下的启动项中文环境chkconfig-listgrep”3:启用|5:启用”英文环境chkconfig-1is11grep3:on5:on源码包安装的服务查看服务安装位置,一般是在use
12、rlocalservicehttpdStart搜索/etc/rc.d/initd/查看是否存在)、系统日志日志默认存放位置:/var/log/查看日志配置情况:more/etc/rsyslog.conf日志文件varlogcronvarlogcups说明记录了系统定时任务相关的日志记录打印信息的日志varlogdmesg记录了系统在开机时内核自检的信息,也可以使用dmesg命令接查看内核自检僖息varlogmailog记录邮件信息varlogmessage记录系统要信息的日志。这个日志文件中会记录1.inUX系统的绝大多故重要信息,如果系统出现问三时,首先要检查的就应该是这个日志文件varlo
13、gbtmp记录铸谍赞录日志,这个文件是二进制文件,不能直接Vi查看,而要使用IaStb的令查看varloglastlog记录系统中所有用户后一次先录时间的日志,这个文件是二进制文件,不能直接vi,而要使用IaStlOg的令查看varlogwtmp永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,不能JS接vi,而需要使用IaSt命令来查看varlogutmp记录当前已经赞录的用户信息,这个文件会随用户的登录和注销不断变化,只记录当前登录用户的信息。同样这个文件不能直接vi,而要使用w,who,users等命令来查询日志分析技巧:1、定位有多少IP在爆破主机的root帐号:grep
