2024網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)Linux應(yīng)急手冊(cè)_第1頁(yè)
2024網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)Linux應(yīng)急手冊(cè)_第2頁(yè)
2024網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)Linux應(yīng)急手冊(cè)_第3頁(yè)
2024網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)Linux應(yīng)急手冊(cè)_第4頁(yè)
2024網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)Linux應(yīng)急手冊(cè)_第5頁(yè)
已閱讀5頁(yè),還剩32頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

應(yīng)急響應(yīng)培訓(xùn)Linux應(yīng)急我們要做什么目錄contentsLinux檢查工具2Linux手工檢查項(xiàng)1手工檢查項(xiàng)總結(jié)1、系統(tǒng)檢查項(xiàng)1、查看系統(tǒng)版本:lsb_release

-a

//適用所有Linux發(fā)行版(RedHat、SUSE、Debian…)cat/etc/issue

//適用所有Linux發(fā)行版cat/etc/redhat-release

//適用Redhat系的Linuxcat/etc/os-release2、查看系統(tǒng)內(nèi)核版本:1)cat/proc/version2)uname

-a2、賬號(hào)檢查項(xiàng)1、用戶信息文件/etc/passwdroot:x:0:0:root:/root:/bin/bash用戶名:密碼:用戶ID:組ID:用戶說(shuō)明:家目錄:登陸之后shell注:

超級(jí)用戶ID=0,普通用戶ID=500-,偽用戶ID=1-4992、/etc/shadow3、/etc/sudoers除root帳號(hào)外,其他帳號(hào)是否存在sudo權(quán)限。如非管理需要,普通帳號(hào)應(yīng)刪除sudo權(quán)限。賬號(hào)檢查項(xiàng)last #顯示所有用戶最近登陸信息,默認(rèn)讀取/var/log/wtmp日志文件。格式:用戶名

終端(pts/tty)登陸IP/內(nèi)核

星期月日開(kāi)始時(shí)間-結(jié)束時(shí)間

持續(xù)時(shí)間lastlog

#顯示所有用戶最近一次登陸信息,默認(rèn)讀取/var/log/lastlog日志文件。格式:用戶名

終端

登陸IP

最后登陸時(shí)間賬號(hào)檢查項(xiàng)3)

lastb #顯示登錄系統(tǒng)失敗的用戶信息,默認(rèn)讀取/var/log/btmp日志文件格式:用戶名

終端

嘗試IP

星期月日開(kāi)始時(shí)間-結(jié)束時(shí)間

持續(xù)時(shí)間3、操作歷史檢查項(xiàng)1、root的歷史命令history[root@localhost~]#history

>>history.txt2、/home下各帳號(hào)目錄的.bash_history,查看普通帳號(hào)的歷史命令[root@localhost~]#less

/home/xxx/.bash_history4、網(wǎng)絡(luò)檢查項(xiàng)netstat–antlp|

moreWEB服務(wù):80、443、8080系統(tǒng)服務(wù):21、22、23DB服務(wù):3306、1521、63795、進(jìn)程檢查項(xiàng)用top命令查看資源(cpu/mem)占用率,并按C鍵通過(guò)占用率排序進(jìn)程檢查項(xiàng)1、psaux|

grep$pid|

grep-vgrep字段:用戶,進(jìn)程ID,CPU使用比,內(nèi)存使用比,虛擬內(nèi)存,固定內(nèi)存,狀態(tài),啟動(dòng)時(shí)間,使用時(shí)間,命令2、ps

-ef字段:用戶,進(jìn)程ID,父進(jìn)程ID,CPU使用率,系統(tǒng)啟動(dòng)時(shí)間,終端,CPU使用時(shí)間,CMD進(jìn)程檢查項(xiàng)3、用lsof命令,查找進(jìn)程路徑lsof-i:1677 查看指定端口對(duì)應(yīng)的程序lsof-p

1234 檢查pid號(hào)為1234進(jìn)程調(diào)用情況4、用ls命令查看下pid所對(duì)應(yīng)的進(jìn)程文件路徑:ls-l

/proc/$PID/exe或file/proc/$PID/exe($PID為對(duì)應(yīng)進(jìn)程號(hào))6、開(kāi)機(jī)啟動(dòng)檢查項(xiàng)啟動(dòng)項(xiàng)排查:ls

-alt

/etc/init.d/ //查看常規(guī)啟動(dòng)項(xiàng)ls

-alt

/etc/rc[0~6].d //查看其他運(yùn)行級(jí)別的啟動(dòng)項(xiàng)ls

-alt

/etc/rc.d/rc[0~6].d//rc[0~6].d中0~6

代表運(yùn)行級(jí)別chkconfig–list7、定時(shí)任務(wù)檢查項(xiàng)1、查看是否有可疑任務(wù):crontab–l或cat/etc/crontab

或more/etc/crontab2、查詢(xún)用戶的任務(wù):crontab-uroot–l定時(shí)任務(wù)檢查項(xiàng)MinuteHourDayMonthWeek

command分鐘

小時(shí)

星期

命令0-59 0-231-311-120-6

command定時(shí)任務(wù)檢查項(xiàng)其他定時(shí)任務(wù)目錄文件:/etc/cron.d/* //存放系統(tǒng)級(jí)任務(wù)的任務(wù)文件/etc/cron.hourly/* //存放每小時(shí)任務(wù)/etc/cron.daily/* //存放每日任務(wù)/etc/cron.weekly/* //存放每周任務(wù)/etc/cron.monthly/* //存放每月任務(wù)/etc/anacrontab //存放系統(tǒng)級(jí)的任務(wù)/var/spool/cron/* //放各個(gè)用戶的任務(wù)文件計(jì)劃任務(wù)的日志:/var/log/cron*8、服務(wù)檢查項(xiàng)chkconfig

--list

查看服務(wù)自啟動(dòng)狀態(tài),可以看到所有的RPM包安裝的服務(wù)psaux|

grep

crond

查看當(dāng)前服務(wù)9、異常文件檢查項(xiàng)查看指定目錄文件:

ls

/

-alt 或ls-alt|head-n

10查找777的權(quán)限的文件:

find

/

*

-perm777

或ls–l

/查找隱藏文件:

ls

–a

/異常文件檢查項(xiàng)查找訪問(wèn)的文件:find/root/-atimen //n表示n天之前的“一天之內(nèi)”被訪問(wèn)過(guò)的文件find

/root/-atime+n //列出在n天之前(不包含n天本身)被訪問(wèn)過(guò)的文件find/root/

-atime-n //列出在n天之內(nèi)(包含n天本身)被訪問(wèn)過(guò)的文件查找2天內(nèi)新增的文件:

find

/root/

-ctime

-2//新增文件10、系統(tǒng)日志檢查項(xiàng)1、常見(jiàn)日志文件:/var/log/wtmp 記錄所有用戶最近登陸信息,用last命令查看/var/log/lastlog 記錄用戶最后一次登錄的信息,用lastlog命令查看/var/log/btmp 記錄登錄系統(tǒng)失敗的用戶信息,用lastb命令查看/var/log/utmp 記錄當(dāng)前正登錄的用戶及其執(zhí)行信息,用who或w命令查看/var/log/message

記錄系統(tǒng)重要信息(異常錯(cuò)誤等)信息/var/log/secure記錄安全相關(guān):驗(yàn)證授權(quán),賬號(hào)密碼信息,如ssh登陸su切換sudo授權(quán)/var/log/cron 記錄定時(shí)任務(wù)執(zhí)行相關(guān)的日志信息/var/log/auth.log包含系統(tǒng)授權(quán)信息,包括用戶登錄和使用的權(quán)限機(jī)制等/var/log/userlog

記錄所有等級(jí)用戶信息的日志系統(tǒng)日志檢查項(xiàng)系統(tǒng)日志檢查項(xiàng)查看登錄成功的信息:cat

/var/log/secure查看登錄成功的IP:grep"Accepted"/var/log/secure|awk'{print$11}'|sort|uniq-c|sort-nr|moregrep"Accepted"/var/log/auth.log|awk'{print$11}'|sort|uniq-c|sort-nr|

more11、防火墻檢查項(xiàng)查看本機(jī)關(guān)于IPTABLES的設(shè)置情況:

iptables-L

–n12、安裝包檢查項(xiàng)校驗(yàn)所有的RPM軟件包,查找丟失的文件:rpm

-Va病毒后門(mén)查殺檢查項(xiàng)后門(mén)排查:Chkrootkit:

/Magentron/chkrootkit

Rkhunter:/installation/rkhunter

LnuxCheck:/al0ne/LinuxCheck手工檢查項(xiàng)總結(jié)目錄contentsLinux手工檢查項(xiàng)我們要做什么Linux檢查工具121Linux

檢查工具whohk:進(jìn)程\網(wǎng)絡(luò)\啟動(dòng)項(xiàng)\用戶等下載:/heikanet/whohk河馬:webshell查殺簡(jiǎn)介:擁有海量webshell樣本和自主查殺技術(shù),采用傳統(tǒng)特征+云端大數(shù)據(jù)雙引擎的查殺技術(shù)。查殺速度快、精度高、誤報(bào)低。兼容性:支持Windows、linux,支持在線查殺。地址:https:///河馬:webshell查殺河馬:webshell查殺河馬:webshell查殺360星圖:日志分析介紹:360星圖:360旗下開(kāi)拓的站點(diǎn)日記分析工具,使用360站點(diǎn)衛(wèi)士中心數(shù)據(jù)分析模塊,云+端聯(lián)動(dòng)分析,轉(zhuǎn)變?yōu)槿碌腤eb日記分析系統(tǒng),

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論