2024網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)Linux應(yīng)急手冊

應(yīng)急響應(yīng)培訓(xùn)Linux應(yīng)急我們要做什么目錄contentsLinux檢查工具2Linux手工檢查項1手工檢查項總結(jié)1、系統(tǒng)檢查項1、查看系統(tǒng)版本：lsb_release

-a

//適用所有Linux發(fā)行版(RedHat、SUSE、Debian…)cat/etc/issue

//適用所有Linux發(fā)行版cat/etc/redhat-release

//適用Redhat系的Linuxcat/etc/os-release2、查看系統(tǒng)內(nèi)核版本：1）cat/proc/version2）uname

-a2、賬號檢查項1、用戶信息文件/etc/passwdroot:x:0:0:root:/root:/bin/bash用戶名：密碼：用戶ID：組ID：用戶說明：家目錄：登陸之后shell注:

超級用戶ID=0，普通用戶ID=500-，偽用戶ID=1-4992、/etc/shadow3、/etc/sudoers除root帳號外，其他帳號是否存在sudo權(quán)限。如非管理需要，普通帳號應(yīng)刪除sudo權(quán)限。賬號檢查項last #顯示所有用戶最近登陸信息，默認(rèn)讀取/var/log/wtmp日志文件。格式：用戶名

終端(pts/tty)登陸IP/內(nèi)核

星期月日開始時間-結(jié)束時間

持續(xù)時間lastlog

#顯示所有用戶最近一次登陸信息，默認(rèn)讀取/var/log/lastlog日志文件。格式：用戶名

終端

登陸IP

最后登陸時間賬號檢查項3)

lastb #顯示登錄系統(tǒng)失敗的用戶信息，默認(rèn)讀取/var/log/btmp日志文件格式：用戶名

終端

嘗試IP

星期月日開始時間-結(jié)束時間

持續(xù)時間3、操作歷史檢查項1、root的歷史命令history[root@localhost~]#history

>>history.txt2、/home下各帳號目錄的.bash_history，查看普通帳號的歷史命令[root@localhost~]#less

/home/xxx/.bash_history4、網(wǎng)絡(luò)檢查項netstat–antlp|

moreWEB服務(wù)：80、443、8080系統(tǒng)服務(wù)：21、22、23DB服務(wù)：3306、1521、63795、進(jìn)程檢查項用top命令查看資源(cpu/mem)占用率，并按C鍵通過占用率排序進(jìn)程檢查項1、psaux|

grep$pid|

grep-vgrep字段：用戶,進(jìn)程ID,CPU使用比,內(nèi)存使用比,虛擬內(nèi)存,固定內(nèi)存,狀態(tài),啟動時間,使用時間,命令2、ps

-ef字段：用戶,進(jìn)程ID,父進(jìn)程ID,CPU使用率,系統(tǒng)啟動時間,終端,CPU使用時間,CMD進(jìn)程檢查項3、用lsof命令，查找進(jìn)程路徑lsof-i:1677 查看指定端口對應(yīng)的程序lsof-p

1234 檢查pid號為1234進(jìn)程調(diào)用情況4、用ls命令查看下pid所對應(yīng)的進(jìn)程文件路徑：ls-l

/proc/$PID/exe或file/proc/$PID/exe($PID為對應(yīng)進(jìn)程號)6、開機(jī)啟動檢查項啟動項排查：ls

-alt

/etc/init.d/ //查看常規(guī)啟動項ls

-alt

/etc/rc[0~6].d //查看其他運行級別的啟動項ls

-alt

/etc/rc.d/rc[0~6].d//rc[0~6].d中0~6

代表運行級別chkconfig–list7、定時任務(wù)檢查項1、查看是否有可疑任務(wù)：crontab–l或cat/etc/crontab

或more/etc/crontab2、查詢用戶的任務(wù)：crontab-uroot–l定時任務(wù)檢查項MinuteHourDayMonthWeek

command分鐘

小時

天

月

星期

命令0-59 0-231-311-120-6

command定時任務(wù)檢查項其他定時任務(wù)目錄文件：/etc/cron.d/* //存放系統(tǒng)級任務(wù)的任務(wù)文件/etc/cron.hourly/* //存放每小時任務(wù)/etc/cron.daily/* //存放每日任務(wù)/etc/cron.weekly/* //存放每周任務(wù)/etc/cron.monthly/* //存放每月任務(wù)/etc/anacrontab //存放系統(tǒng)級的任務(wù)/var/spool/cron/* //放各個用戶的任務(wù)文件計劃任務(wù)的日志：/var/log/cron*8、服務(wù)檢查項chkconfig

--list

查看服務(wù)自啟動狀態(tài)，可以看到所有的RPM包安裝的服務(wù)psaux|

grep

crond

查看當(dāng)前服務(wù)9、異常文件檢查項查看指定目錄文件：

ls

/

-alt 或ls-alt|head-n

10查找777的權(quán)限的文件：

find

/

*

-perm777

或ls–l

/查找隱藏文件：

ls

–a

/異常文件檢查項查找訪問的文件：find/root/-atimen //n表示n天之前的“一天之內(nèi)”被訪問過的文件find

/root/-atime+n //列出在n天之前（不包含n天本身）被訪問過的文件find/root/

-atime-n //列出在n天之內(nèi)（包含n天本身）被訪問過的文件查找2天內(nèi)新增的文件：

find

/root/

-ctime

-2//新增文件10、系統(tǒng)日志檢查項1、常見日志文件：/var/log/wtmp 記錄所有用戶最近登陸信息，用last命令查看/var/log/lastlog 記錄用戶最后一次登錄的信息，用lastlog命令查看/var/log/btmp 記錄登錄系統(tǒng)失敗的用戶信息，用lastb命令查看/var/log/utmp 記錄當(dāng)前正登錄的用戶及其執(zhí)行信息，用who或w命令查看/var/log/message

記錄系統(tǒng)重要信息(異常錯誤等)信息/var/log/secure記錄安全相關(guān):驗證授權(quán),賬號密碼信息，如ssh登陸su切換sudo授權(quán)/var/log/cron 記錄定時任務(wù)執(zhí)行相關(guān)的日志信息/var/log/auth.log包含系統(tǒng)授權(quán)信息，包括用戶登錄和使用的權(quán)限機(jī)制等/var/log/userlog

記錄所有等級用戶信息的日志系統(tǒng)日志檢查項系統(tǒng)日志檢查項查看登錄成功的信息：cat

/var/log/secure查看登錄成功的IP：grep"Accepted"/var/log/secure|awk'{print$11}'|sort|uniq-c|sort-nr|moregrep"Accepted"/var/log/auth.log|awk'{print$11}'|sort|uniq-c|sort-nr|

more11、防火墻檢查項查看本機(jī)關(guān)于IPTABLES的設(shè)置情況:

iptables-L

–n12、安裝包檢查項校驗所有的RPM軟件包,查找丟失的文件:rpm

-Va病毒后門查殺檢查項后門排查：Chkrootkit：

/Magentron/chkrootkit

Rkhunter：/installation/rkhunter

LnuxCheck：/al0ne/LinuxCheck手工檢查項總結(jié)目錄contentsLinux手工檢查項我們要做什么Linux檢查工具121Linux

檢查工具whohk：進(jìn)程\網(wǎng)絡(luò)\啟動項\用戶等下載：/heikanet/whohk河馬：webshell查殺簡介：擁有海量webshell樣本和自主查殺技術(shù)，采用傳統(tǒng)特征+云端大數(shù)據(jù)雙引擎的查殺技術(shù)。查殺速度快、精度高、誤報低。兼容性：支持Windows、linux，支持在線查殺。地址：https:///河馬：webshell查殺河馬：webshell查殺河馬：webshell查殺360星圖：日志分析介紹：360星圖：360旗下開拓的站點日記分析工具，使用360站點衛(wèi)士中心數(shù)據(jù)分析模塊，云+端聯(lián)動分析，轉(zhuǎn)變?yōu)槿碌腤eb日記分析系統(tǒng)，