Linux需要经常关注的目录

/etc/passwd用户信息文件:我们需要看一下里面到底是什么,保存的用户信息

/etc/rc.d/rc.loacl:开机启动项:类似于Windows的开机启动项,有可能攻击者会在里面写一个后门文件,需要重点查看

/root/.ssh:存放root用户ssh公钥和=私钥的地方,有可能攻击者攻击完生成一对公私钥加进去,他拿私钥就可以直接登陆,

/tmp:系统或者用户临时文件的目录,一些传统的黑产黑客组织会利用批量化的脚本,不同的操作系统要做到兼容适配,就会去找公共目录,就是别的版本也有的目录,下载就很方便,就不需要去考虑目录的问题,一些自动化的东西她都会存在在公共目录里面。

/etc/hosts:本地ip地址,域名解析文件,攻击者拿到本地权限之后,想去阻拦一些杀毒软件,外联的杀毒引擎,都在这个目录下面把域名解析到本地,杀毒软件引擎就更新不了,

/etc/init.d/:开机启动项,和上面的比较相似,但是下面有local这个目录,有不同的用户启动级别,我们只需要观察当前用户启动模式是哪一个,然后那个模式下启动文件,通用性配置文件,也要关注一下有没有恶意的启动脚本,

#常用命令

查询当前目录下面的所有文件并且排序  ls  -alt

一些攻击者可能会创造一个隐藏的攻击文件夹,配置攻击文件信息,所以加上-alt,

查询系统内存使用情况  free -h Linux里面挖矿也是很多的,我们要去查一下进程占用率和内存使用率,上面这种可能是文件的限制。

查看系统及子进程:ps auxf

top   两个命令

auxf是我可以展示她的子进程,可以看到ssh用户下面的子进程是哪个,都在干嘛,现在用户的pid是多少,1178pid下面都有那些子进程,可以看到主进程下面调用了那些子进程,子进程的pid是多少。

top命令也可以看到子进程,但是看不到关联性,比如那个进程下面那个子进程,看不到,但是可以看到cpu占用率,两个命令相互结合来看。如果说中了挖矿看cpu占用率基本上可以确定挖矿进程,

#查看网络连接:natstat -antol

查看当前主机网络连接状态,使用natstat -antol,就看到当前地址的ip和与他连接的ip,包括进程状态pid,进程名称。锁定外联行为就可以用到,有他进程pid之后,是用ls -aln /proc/pid号来查看进程下的所有进程情况,(proc所有进程文件目录)

重点说exe,exe就对应的他的文件,这个进程是那个文件加载的进程,这个就是一个典型的挖矿情况,我们发现他链接了矿池,在lc上面标记了矿池的ip地址包含他的端口,我们查到pid之后使用proc目录,去锁定文件,然后进程结束,挖矿文件结束,排除不同的点比如计划任务,开机启动项,清楚挖矿程序,重点关注proc目录。

#常用命令 :lsof

比如我们要判断那个端口到底是哪个文件起的,他的进程是什么就可以使用lsof -i:端口号,如图中所示。

我们需要查看进程他打开的文件的话,用losf -p pid号。

查询我们当前用户打开的文件,使用lsof -u 用户名,我们就可以打开指定文件打开的文件展示出来,

#常用命令

 chatts就可以比一些用户管理员误删一些重要文件,

使用ls -l可以查看当前文件目录下面的权限,他有三个 所属用户,所属用户组,其他用户,而用chattr是没办法查看倒的,一般攻击者会使用这个去隐藏权限目录,我们就可以用lsattr去查看问你就属性目录,

这个技巧一般是挖矿,排查的时候要关注文件属性,使用这个目录,通常被用于后门文件,难以清除的后门文件。

#排查启动项

上面说了rc.local文件,还有profile.d文件也是系统启动会加载服务程序,会在bash运行时候引用的目录,里面有一些脚本文件在自动登录的会被运行起来,可以cat看一下有没有恶意的程序脚本,在一个去查看有哪个sh文件,

#查找符合条件的字符串:grep

我们应急过程中需要过滤关键字,执行 之后,这个系统有很多网络链接,比如说我们要去重点关注22的端口,就是要grep命令,

#排查计划任务

第一个命令passwd是用户信息,我们后面加上些过滤就可以达到查看所有用户计划任务的目的,还有很多计划任务目录都要排查一下

more是查询不同的计划任务配置文件,也有可能会被留下计划任务的点。

#

黑客获取到账户密码直接登陆的时候,我们就可以用history查看一下黑客执行过的系统命令,

.bash_history是记录文件,每一个用户都会有记录文件,比如我们用root目录,他就会用root目录下面/.bash_histiory文件,每个用户都有。

#校验rpm包

Linux会有目录被纂改的行为,可以用rpm -Va的命令去校验每一个命令的rpm软件包,防止rpm包被纂改替换,替换之后上传一个干净的rmp软件包二进制到服务器上面进行检查,执行完之后会有很多,右边是不同的字符代表什么意思,出现s 5 可以不用太在意,但是如果是SM5,,就要重点去看他的后面的文件有没有被替换。

#查看文件夹详细信息:stat

比如客户让我今天去应急, 就重点关注今天之前有没有问题,如果客户说一周之前就被入侵了,就只关注排查应急事件发生之前发生的事情,

#常用命令

find / ~mtime 0 -name * .jsp

检查今天一天内修改过,名字以.jsp结尾的文件,

find / ~ctime 0 -name * .jsp

0是一天的意思,具体去查看一下,这个是一天内新建的内容,

#比较文件差异:diff -c

diff做文件的的对比,网页纂改场景下面可能会用到,去对比差距,变更了拿一些,

#查看隐藏进程

原理:第一个命令去查看所有进程然后把所有内容过滤掉,打印到ps.p文件里面,执行出来是全部的pid号

第二个命令是查看proc(所有进程文件)文件然后所有的pid号打印到prcc.p文件里面,

第三个用diff进行两个文件的对比

有可能proc目录存在,ps目录查询不出来,就是隐藏进程。

#系统用户登陆记录

经常遇到的ssh爆破的行为,我们显示有lastb查看登陆失败的记录,找到存在爆破行为的ip之后,

再去last里面查那个ip地址成功登陆的。

#日志分析

内核日志是由syslog形式管理,如何配置syslog文件,然后往那个系统里面去传

用户日志:是记录系统用户登陆或退出的时间,包括账户,登陆时间,源ip等

应用日志:记录应用程序运行过程中的各种事件信息,不同应用有不同的应用日志,

圈起来的日志重点关注,

#日志分析-secure日志

成功登陆日志,关键字accepted

失败登陆日志,关键字failed

一些用得上的相关命令

我们先查看失败的登陆的ip地址,然后发现一个一直登陆失败的ip就是在爆破,再去看一下登陆的ip,有没有它,有就是被爆破成功了,

#应用工具-busybox

比如一些系统命令被替换的时候我们就要用到busybox,下载下来就是一个文件,然后我们赋予他们可执行文件权限,使用这个工具静态隐藏进程也能查找出来,

#应用工具-unhide

tcp端口隐藏的时候我们可以用unhide小工具,可以帮我们判定系统有没有隐藏进程,tcp连接信息,使用yum直接装。

#应用工具-chkrootkir

用来检测rootkit,直接下载下来然后进到他的目录,使用直接   (这有个点号)./   ,

#应用工具-rkhunter

也是用来检测rootkit,直接yum下好然后执行,会标记好,

#应用工具-clamav

用来检测木马病毒恶意软件等等,她只是一个扫描工具,需要配合防病毒引擎,

#应用工具-webshell查杀

推荐河马的。

#案例-watchdog应急响应

从第一个地址里面下后门那个地址的文件

拿下那个sh文件发现,发现是base64编码

揭秘之后发现恶意的动作,有一个植入恶意的so文件,这个so文件就是挖矿进程和一些系统命令,隐藏文件使用到的,直接使用busybox就可以正常发现他的一些情况,推荐使用busybox。

#案列2.某个官媒被挂了博彩界面

那个大空行就代表周期性触发,内网机器请求dns服务器,查询请求域名发现是个黑地址

紧接着在linux下面使用审计工具,追求他的审计,追踪他的模块发现他有tcp进程脚本文件,可以看到他加载的这个文件

其实是一个动态脚本,工作就是一句话木马,特殊的定制的,以插件形式进来的,

查计划任务发现非业务行计划任务,跟客户确认不是客户的,是黑客下的,

查一下这个计划任务,主机任务web应用系统上面有一个计划任务的功能的,然后就发现加恶意脚本,删掉之后机器就恢复了,web应用存在漏洞,导致了入侵,写入了恶意文件。

奇安信应急响应-Linux相关推荐

  1. 奇安信病毒检测中心 2022年第二季度App收集个人信息检测报告 学习笔记 附下载地址

    奇安信 2022年第二季度App收集个人信息检测报告 下载地址 2022年第二季度 APP收集个人信息 检测报告 奇安信 病毒响应中心 研究背景 随着互联网和移动设备的发展,手机已成为人人都拥有的设备 ...

  2. 奇安信 2022年上半年网络安全应急响应分析报告

    声明 本文是学习奇安信 2022年上半年网络安全应急响应分析报告. 下载地址而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 2022年上半年应急 2022年1-6月,奇安信集团安 ...

  3. 奇安信入选2023年度工业信息安全监测应急支撑单位

    近日,国家工业信息安全发展研究中心公布公示了2023年度工业信息安全监测应急支撑单位名单,凭借在工业信息安全领域的长期深耕和技术实力,奇安信集团成功入选. 为进一步落实党的二十大精神,围绕建立大安全大 ...

  4. 对话奇安信代码安全丨十年砥砺前行 迎来软件供应链安全的风口

    日前,奇安信代码安全事业部总经理.代码安全实验室主任黄永刚受邀分享了自身对开发安全领域的认知和洞察. 最近火爆的"元宇宙"概念,向人们勾勒了数字世界的未来发展形态.如果说物理世界是 ...

  5. 奇安信荣获中国电子2021年度科技进步奖一、二等奖

    1月25日,中国电子在集团公司年度工作会上表彰了2021年度中国电子科技创新奖获奖项目和个人.奇安信集团荣获中国电子科技进步奖2项.科技人才奖1项. 其中"网络安全应急响应关键技术研究与服务 ...

  6. 奇安信代码安全实验室帮助微软修复多个高危漏洞,获官方致谢

    聚焦源代码安全,网罗国内外最新资讯! 近日,奇安信代码安全实验室研究员为微软发现七个"重要"级别的漏洞(CVE-2020-0782.CVE-2020-0836.CVE-2020-0 ...

  7. 奇安信代码安全实验室五人入选“2020微软 MSRC 最具价值安全研究者”榜单

     聚焦源代码安全,网罗国内外最新资讯! 今天,微软安全响应中心 (MSRC) 在官网发布2019-2020年度"最具价值安全研究者"榜单,奇安信代码安全实验室的五名研究员入选. 微 ...

  8. 《应用软件安全编程指南》国标发布 奇安信代码卫士已全面支持

     聚焦源代码安全,网罗国内外最新资讯! 近日,国家市场监督管理总局.国家标准化管理委员会发布了中华人民共和国国家标准公告(2020年第8号),其中包括全国信息安全标准化技术委员会归口的26项国家标准. ...

  9. 奇安信行业安全研究中心

    声明 本文是学习中国政企机构数据安全风险分析报告. 下载地址 http://github5.com/view/55041而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 奇安信行业 ...

最新文章

  1. Linux curl API 使用 C语言
  2. Chisel_LLDB调试命令
  3. Source Insight 4.0常用设置
  4. mysql 5.7.22 winx64_windows下mysql-5.7.22-winx64突然启动不了,报错Could not open log file
  5. 教你些技巧,用 Python 自动化办公做一些有趣的事情!太方便了
  6. 你真的了解.NET中的String吗?
  7. 3des加密 java php_php 3DES加密如何兼容Java
  8. Android 侧滑多层view显示
  9. cakephp下整合kindeditor和ckplayer
  10. java 计算机程序_跟我学java—什么是计算机程序?
  11. 跟随我在oracle学习php(42)
  12. keil uVision 注册过期导致编译不通过
  13. linux 2.6 内核配置说明
  14. 思科、华为路由器破解过程
  15. 机器人开发--AGV控制系统
  16. IC卡读写器的应用有哪些?
  17. EWM 过账期间修改(Posting only possible in periods***)
  18. webshell检测方式深度剖析---RASP(taint扩展)
  19. 使用AlphaBlend函数实现位图半透明绘制
  20. 【品牌专场】跨越 X 突破,音视频聚力新机遇

热门文章

  1. CloudStack+XenServer详细部署方案 交换机配置和服务器连线
  2. CloudStack重装。
  3. plt画网格图_(13)使用plt 画图
  4. 19-20-1计算机网络quiz3
  5. MyBatis-Plus(八)Mapper的CRUD接口5:增删改操作
  6. 【华为机试真题 Python实现】字符串以 N 为单位分段
  7. python基础学习-老王开枪
  8. 【Ubuntu】docker报错:Error response from daemon: Container a1035642576a3a899c8fe142c416fc is not running
  9. 播放器常用手势操控封装GestureView
  10. 【蓝桥杯-砝码称重】