linux应急响应基础和常用命令

linux应急响应

linux应急响应基础和常用命令基于linux系统本身进行应急响应。

系统基础信息获取

获取linux服务器基本信息

命令:

uname -a

在这里插入图片描述

内存cpu信息

cat /proc/cpuinfo
cat /proc/meminfo
lscpu
free -m
lsmod  #查看载入的模块信息

在这里插入图片描述
在这里插入图片描述

进程查看

动态进程查看

top #动态查看进程
ps -ef  #静态查询进程

在这里插入图片描述

在这里插入图片描述

用户信息排查

查询用户信息

cat /etc/passwd

在这里插入图片描述

排查问题用户

常见排查点:
排查用户主要排查三个东西,超级用户权限类似于windows影子用户,查询可以登录的用户和空口令的账户

排查空口令用户

awk -F: ‘{if($3==0)print $1}’ /etc/passwd

在这里插入图片描述

排查可以登录的用户,是否存在不熟悉用户

cat /etc/passwd |grep '/bin/bash'

在这里插入图片描述

查询空口令的用户

awk -F:  ‘length($2)==0 {print $1}’ /etc/passwd

在这里插入图片描述

排查用户登录相关

查看错误的登录信息,这个虚拟机是刚刚安装的没有内容

lastb

最后登录信息

lastlog

在这里插入图片描述

最近的登录日日志

last

在这里插入图片描述

who当前登录状态
在这里插入图片描述

进程和网络排查

上面的查询进程top和ps -ef
在这里插入图片描述
在这里插入图片描述

排查网络连接状态

查询网络连接状态

netstat 

常用命令

netstat -anptu

详细命令

netstat –help

在这里插入图片描述

简单案例分析

本机启动一个python的httpserver,假设是攻击者的外联,外联状态一般为(establish)

python -m SimpleHTTPServer

在这里插入图片描述

lsof -p PID 查询详细进程信息

lsof -p 13122

在这里插入图片描述

如果有恶意程序的话直接

Kill -9 PID(进程号)
这样就可以直接关闭进程
在这里插入图片描述
查看进程详细信息,发现没有在监听8000端口了,也没有python进程了。


敏感文件排查

常见的敏感文件路径有/tmp下、~/.ssh、、/etc/ssh还有web根路径和web上传路径等等。

find命令查找可疑文件

常用命令find命令
在这里插入图片描述

常用参数
find -type f/l/d 查找文件类型、链接类型、类型

根据修改,访问,创建时间来查询文件
-mtime -n +n 修改文件的时间范围 -n 为几天内, +n 指的是几天前。
-atime -n +n 文件访问时间范围 -n 为几天内, +n 指的是几天前。
-ctime -n +n 创建文件时间范围 -n 为几天内, +n 指的是几天前。

案例:
查询最近10分钟内修改的sh文件

find / -mmin -10 -type f -name "*.sh" 2>/dev/null

在这里插入图片描述
列出说有文件并按时间排序

ls -alt 

在这里插入图片描述

stat  #文件名可以查看文件详细修改创建访问时间

在这里插入图片描述

查询uid权限文件(uid权限文件可用于,权限提升)

find  / -type f -perm -04000 2>/dev/null
find  / -type f -perm -04000 -ls -uid 0  2>/dev/null

在这里插入图片描述
还可以ls -alh查询文件,如果是最近被修改的或者文件大小异常结合日志判断很有可能是木马(我这里没有,展示命令)

ls -alh /bin

在这里插入图片描述


日志排查

常见日志目录

Linux下常见的日志,linux的日志一般存放在”/var/log” 目录下
常见的日志
/var/log/cron 计划任务日志
/var/log/wtmp 登录日志,也就是last
/var/log/message 系统启动的错误日志
/var/log/lastlog 记录登录的用户日志,也就是lastlog命令
/var/log/secure 记录输入账号密码登录的日志
/var/log/faillog 记录登录失败的日志

常见的其他服务日志
/var/spool/mail 邮件日志

网站日志
Tomcat日志
在tomcat安装目录下的/log

Nginx日志
/var/log/nginx/access.log

Apache日志
/var/log/httpd/access.log
/var/log/apache/ access.log
/var/log/apache2/ access.log
/var/log/httpd-access.log

数据库日志
Mysql默认路径在
/var/log/mysql/
如果没在可以使用 show variables like ‘genneral’ 命令查找日志路径

Oracle数据默认路径子啊
$ORACLE/rdbms/log 目录下

在这里插入图片描述
除了cat查看日志外还可以使用tail 、head、awk和grep等命令进行查找和检索。


流量分析

tcpdump抓去网络流量

使用tcpdump命令进行抓包
我的这里的网卡名称为:ens33

案例抓取ens33 网卡所有的流量保存到 test.cap 文件中

tcpdump -i ens33 -w test.cap

在这里插入图片描述
后面可以使用wireshark和科来对数据包进行流量分析。

参考上一篇文章:windows应急响应基础
https://blog.csdn.net/qq_41690468/article/details/135045207


恶意文件、病毒

webshell查杀

D盾_webshell查杀

http://www.d99net.net/

百度WEBDIR+在线查杀

https://scanner.baidu.com/

河马

https://www.shellpub.com/

Web Shell Detector

官方网站:http://www.shelldetector.com/
github项目地址:https://github.com/emposha/PHP-Shell-Detector

长亭牧云CloudWalker

在线查杀demo:https://webshellchop.chaitin.cn/
github项目地址:https://github.com/chaitin/cloudwalker

深度学习模型检测PHP Webshell

http://webshell.cdxy.me/

PHP Malware Finder

github项目地址:https://github.com/jvoisin/php-malware-finder

findWebshell

github项目地址:https://github.com/he1m4n6a/findWebshell

在线webshell查杀工具

http://tools.bugscaner.com/killwebshell/

杀毒软件

  • ClamAV - 具有GUI的开源免费防病毒扫描程序
  • rkhunter - 基于行为的rootkit扫描,仅支持命令行
  • sophos - 对单一用户免费,扫描并清理恶意程序,仅支持命令行
  • firetools - 具有GUI的沙盒软件,能够有效预防恶意网络脚本
  • qubes - 致力于尽可能保护计算机安全的发行版本

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/253611.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

将mjpg格式数转化成opencv Mat格式

该博客可以解决如下两个问题: 1、将mjpg格式数据转化成opencv Mat格式 2、v4l2_buffer 格式获取的mjpg格式数据转换成Mat格式。 要将 MJPEG 格式的数据转换为 OpenCV 的 Mat 格式,您可以使用 imdecode 函数。imdecode 函数可以将图像数据解码为 Mat 对象…

CCNP课程实验-OSPF-CFG

目录 实验条件网络拓朴需求 配置实现基础配置1. 配置所有设备的IP地址 实现目标1. 要求按照下列标准配置一个OSPF网络。 路由协议采用OSPF,进程ID为89 ,RID为loopback0地址。3. R4/R5/R6相连的三个站点链路OSPF网络类型配置成广播型,其中R5路…

电子电器架构( E/E) 演化 —— 高速 大算力

电子电器架构( E/E) 演化 —— 高速 & 大算力 我是穿拖鞋的汉子,魔都中坚持长期主义的汽车电子工程师。 老规矩,分享一段喜欢的文字,避免自己成为高知识低文化的工程师: 屏蔽力是信息过载时代一个人的特殊竞争力,任何消耗你的人和事,多看一眼都是你的不对。非必要…

ELK(八)—Metricbeat部署

目录 介绍修改配置文件启动 Modulenginx开启状态查询配置Nginx module查看是否配置成功 介绍 Metricbeat 是一个轻量级的开源度量数据收集器,用于监控系统和服务。它由 Elastic 公司开发,并作为 Elastic Stack(Elasticsearch、Logstash、Kiba…

【机器学习】梯度下降法:从底层手写实现线性回归

【机器学习】Building-Linear-Regression-from-Scratch 线性回归 Linear Regression0. 数据的导入与相关预处理0.工具函数1. 批量梯度下降法 Batch Gradient Descent2. 小批量梯度下降法 Mini Batch Gradient Descent(在批量方面进行了改进)3. 自适应梯度…

什么同源策略?

同源 同源指的是URL有相同的协议、主机名和端口号。 同源策略 同源策略指的是浏览器提供的安全功能,非同源的RUL之间不能进行资源交互 跨域 两个非同源之间要进行资源交互就是跨域。 浏览器对跨域请求的拦截 浏览器是允许跨域请求的,但是请求返回…

spring-kakfa依赖管理之org/springframework/kafka/listener/CommonErrorHandler错误

问题: 整个项目使用spring-boot2.6.8版本,使用gradle构建,在common模块指定了implementation org.springframework.kafka:spring-kafka:2.6.8’这个工程也都能运行(这正常发送kafka消息和接收消息),但是执行…

nodejs+vue+微信小程序+python+PHP邮件过滤系统的设计与实现-计算机毕业设计推荐

邮件过滤系统根据权限类型进行分类,主要可分为用户和管理员二大模块。 管理员模块主要根据管理员对整个系统的管理进行设计,提高了管理的效率和规范[11]。邮件过滤系统综合网络空间开发设计要求。该系统主要设计并完成了管理过程中的用户登录、个人信息修…

持续集成交付CICD:基于 GitLabCI 与 JenkinsCD 实现后端项目发布

目录 一、实验 1. GitLabCI环境设置 2.优化GitLabCI共享库代码 3.JenkinsCD 发布后端项目 4.再次优化GitLabCI共享库代码 5.JenkinsCD 再次发布后端项目 一、实验 1. GitLabCI环境设置 (1)GitLab给后端项目添加CI配置路径 (2&#xf…

万兆网络之屏蔽线序接法(下)

我们直接干吧 1.剥去网线外被,这个相信大家都会的,剪掉尼龙线 剥去的长度用水晶头和护套量度,多留一点长度用于撸直 为了插进去很紧,我用的是超五类的护套,只能顶到条纹底端就很费劲了 然后十字骨架留一小段&#xf…

【JAVA-Day69】抛出异常的精髓:深度解析 throw、throws 关键字,优雅处理异常问题

抛出异常的精髓:深度解析 throw、throws 关键字,优雅处理异常问题 🚀 抛出异常的精髓:深度解析 throw、throws 关键字,优雅处理异常问题 🚀一、什么是抛出异常 😊二、如何抛出异常 &#x1f914…

IDEA中,如何将maven项目变为SpringBoot项目?

第一步&#xff1a;新建Maven工程 这很简单不做过多赘述。 第二步&#xff1a;修改pom.xml文件 分别加入springboot父依赖&#xff0c;web依赖&#xff0c;test测试依赖&#xff0c;maven打包依赖。 <?xml version"1.0" encoding"UTF-8"?> <…

Android Stuido报错处理

仅用作报错记录。防止以后出项问题不知如何解决。 报错1 Dependency‘androidx.annotation:xx requires libraries and applications … 需要修改CompileSDKVersion更改为报错中提示的版本 打开项目build.gradle文件&#xff0c;将compileSdk和targetSdk修改为报错中提示的版…

Word写大论文常见问题(持续更新)

脚注横线未定格 解决方案&#xff1a;“视图”-“草图”&#xff0c;“引用”-“显示备注”-选择“脚注分隔符”&#xff0c;把横线前的空格删掉。 2.PPT做的图插入word中清晰度太低 解决方案&#xff1a;PPT-图形-“另存为图片”-“可缩放矢量图格式”-粘贴到word中。

FPGA简易加减法计算器设计

题目要求&#xff1a; &#xff08;1&#xff09;设计10以内的加减法计算器。 &#xff08;2&#xff09;1个按键用于指定加法或减法&#xff0c;一个用于指定加数或被加数&#xff0c;还有两个分别控制加数或被加数的增加或减少。 &#xff08;3&#xff09;设置的结果和计算的…

饥荒Mod 开发(十四):制作屏幕弹窗

饥荒Mod 开发(十三)&#xff1a;木牌传送 在上一个文章里面制作了一个传送选择页面&#xff0c;是一个全屏的窗口&#xff0c;那饥荒中如何制作一个全屏的窗口&#xff0c;下面介绍一下如何从零开始制作一个全屏窗口 制作屏幕窗口 饥荒中的全屏窗口都有一个基类 “Screen”,我…

JVM基础入门

JVM 基础入门 JVM 基础 聊一聊 Java 从编码到执行到底是一个怎么样的过程&#xff1f; 假设我们有一个文件 x.Java&#xff0c;你执行 javac&#xff0c;它就会变成 x.class。 这个 class 怎么执行的&#xff1f; 当我们调用 Java 命令的时候&#xff0c;class 会被 load 到…

Kafka相关知识

一、kafka架构 Kafka基础知识 Kafka是最初由Linkedin公司开发&#xff0c;是一个分布式、分区的、多副本的、多生产者、多订阅者&#xff0c;基于zookeeper协 调的分布式日志系统(也可以当做MQ系统)&#xff0c;常见可以用于webynginx日志、访问日志&#xff0c;消息服务等等&…

pycharm依赖管理(不要用pip freeze)

在使用python虚拟环境时&#xff0c;可以使用requirements.txt来管理当前项目的依赖。 注意&#xff0c;不要用 pip freeze > requirements.txt 这个命令&#xff0c;因为它会引入很多无关的包。 可以使用 pipreqs ./ --encodingutf-8 ./ 表示当前项目的目录&#xff0…

QT for Android安卓编译环境搭建+首次编译3个大坑

1、安装 编译环境能否搭建成功&#xff0c;主要是看各个依赖软件的版本是否匹配。依赖的软件有3个&#xff1a;JDK、安卓SDK、安卓NDK。 我的qt版本是5.14.1&#xff0c;我亲测以下版本可以成功让编译安卓&#xff1a; QT5.14 JDK1.8.0 安卓SDK26.1 安卓NDK20.1 在QT-&g…