应急响应基础
关键目录
| 文件名 | 说明 |
| /etc/passwd | 用户信息文件 |
| /etc/crontab | 定时任务文件 |
| /etc/anacrontab | 异步定时任务文件 |
| /etc/rc.d/rc.local | 开机启动项 |
| /var/log/btmp | 登录失败日志,用lastb命令查看 |
| /var/log/cron | 定时任务执行日志 |
| /var/log/lastlog | 所有用户最近登录信息,使用lastlog查看 |
| /var/log/secure | 验证、授权等日志 |
| /var/log/wtmp | 包含用户登录日志、使用last命令查看 |
| /var/log/utmp | 当前登录系统的用户信息,使用last命令查看 |
last: 阅读的wtmp文件 lastb:阅读的btmp文件 lastlog:阅读所有用户最近登录信息常用命令
查看进程资源占用: top
![图片[1]-【网安面试】应急响应–LInux快速入门-安全小天地](https://img.godyu.com/2023/12/20231226124600385.png?imageView2/0/format/webp/q/75)
查看进程: ps -aux
ps -aux是一个Linux/Unix命令,用于显示当前系统中所有进程的详细信息。其中,参数的含义如下:
- a:显示所有进程,包括其他用户的进程。
- u:以用户为主的格式显示进程信息,包括进程的用户、CPU占用率、内存占用率、启动时间等。
- x:显示没有控制终端的进程。
综合起来,ps -aux命令可以显示当前系统中所有进程的详细信息,包括其他用户的进程,以用户为主的格式显示进程信息,以及显示没有控制终端的进程。
![图片[2]-【网安面试】应急响应–LInux快速入门-安全小天地](https://img.godyu.com/2023/12/20231226204601106.png?imageView2/0/format/webp/q/75)
查看网络连接: netstat -antpl
netstat -antpl是一个Linux/Unix命令,用于显示当前系统中所有网络连接的详细信息。其中,参数的含义如下:
- a:显示所有连接,包括正在监听的和已建立的连接。
- n:以数字形式显示IP地址和端口号,而不是主机名和服务名。
- t:显示TCP协议的连接。
- p:显示建立连接的进程信息。
- l:显示正在监听的连接。
综合起来,netstat -antpl命令可以显示当前系统中所有TCP连接的详细信息,包括正在监听的和已建立的连接,以数字形式显示IP地址和端口号,显示建立连接的进程信息。
![图片[3]-【网安面试】应急响应–LInux快速入门-安全小天地](https://img.godyu.com/2023/12/20231226204602198.png?imageView2/0/format/webp/q/75)
然后根据pid,利用ls -alh /proc/pid命令查看其对应的可执行程序
开放端口的进程:lsof
![图片[4]-【网安面试】应急响应–LInux快速入门-安全小天地](https://img.godyu.com/2023/12/20231226204603577.png?imageView2/0/format/webp/q/75)
lsof是一个Linux/Unix命令,用于显示当前系统中打开的文件和网络连接的详细信息。其中,常用的参数有:
- -p:指定进程号,只显示该进程打开的文件和网络连接信息。
lsof -p 1702 - -i:显示网络连接信息。
lsof -i:80 - -u:显示用户的连接信息
lsof -u root
显示错误的尝试登录信息:lastb
显示系统用户最近的登录信息:last
现实所有的用户最近的登录信息:lastlog
查找符合条件的字符串:grep
![图片[5]-【网安面试】应急响应–LInux快速入门-安全小天地](https://img.godyu.com/2023/12/20231226204605216.png?imageView2/0/format/webp/q/75)
查看定时任务: crontab -l、 cat /etc/crontab
![图片[6]-【网安面试】应急响应–LInux快速入门-安全小天地](https://img.godyu.com/2023/12/20231226204606496.png?imageView2/0/format/webp/q/75)
![图片[7]-【网安面试】应急响应–LInux快速入门-安全小天地](https://img.godyu.com/2023/12/20231226204607899.png?imageView2/0/format/webp/q/75)
查看历史命令: history、cat~/.bash_history
查看当前目录下所有文件并排序:ls -alt
校验RPM软件包:rpm -Va、dpkg -verify
S:表示对应文件的大小(Size)不一致;
M:表示对于文件的mode不一致;
5:表示对应文件的MD5不一致;
D:表示文件的major和minor号不一致;
L:表示文件的符号连接内容不一致;
U:表示文件的owner不一致;
G:表示文件的group不一致;T:表示文件的修改时间不一致;
如果只是出现S,5其实不需太过担心,但是同时出现SM5这种就要考虑是不是出问题了
查看文件(文件夹)详细信息: stat
stat ./![图片[8]-【网安面试】应急响应–LInux快速入门-安全小天地](https://img.godyu.com/2023/12/20231226204608208.png?imageView2/0/format/webp/q/75)
查找当前目录下,指定天数内修改的指定类型(or名称)文件: find . / -mtime 0 - name *. jsp
查找当前目录下,指定天数内新增的指定类型(or名称)文件: find ./ -ctime 0 - name *.jsp
登录成功的IP
grep \"Accepted\" /var/log/secure | awk \' {print $11}\' | sort | uniq -c | sort -nr | more
grep \"Accepted\" /var/log/auth.log | awk \' {print $11}\' | sort | uniq -c | sort -nr | more![图片[9]-【网安面试】应急响应–LInux快速入门-安全小天地](https://img.godyu.com/2023/12/20231226204609867.png?imageView2/0/format/webp/q/75)
定位有爆破行为的IP
grep \"Failed password\" /var/log/secure |awk \' {print $11}\' | sort | uniq -c | sort -nr |more
grep \"Failed password\" /var/log/auth.log |awk \' {print $11}\' | sort | uniq -c | sort -nr |more查看隐藏进程
ps -ef | awk \' {print}\' | sort -n | uniq >1
ls /proc | sort -n | uniq >2
diff 1 2
应急工具
Busybox
BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件。BusyBox 包含了一些简单的工具,例如ls、cat和echo等等,还包含了一些更大、更复杂的工具,例grep、find、mount以及telnet。有些人将 BusyBox 称为 Linux 工具里的瑞士军刀。
./busybox netstat -antpl官网:[https: //busybox.net/]
chkrootkit
chkrootkit是一个linux下检RootKit的脚本。
chkrookit -n官网:[http: / /www.chkrootkit.org/]
Chkrootkit安装:
下载源码:ftp://ftp.pangeia.com. br/pub/seg/pac/chkrootkit.tar. gz2
解压后执行make进行编译,就可以使用了。
./chkrootkit | grep INFECTED
一般直接运行,一旦有INFECTED,说明可能被植入了RootKit
Rkhunter
rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查。
rkhunter --checkall -- sk
Webshell查杀工具
官网:[https: / /www.shellpub.com/]
暂无评论内容