蓝队应急响应姿势之Linux
2022-11-9 09:30:59 Author: 星冥安全(查看原文) 阅读量:16 收藏

一.linux敏感目录-tmp介绍

-a 列举所有文件 

tmp目录,每个用户都对该目录有读写权限。

二.开机自启动目录介绍

自启动文件是按照事件排序的,新的会在最上面。恶意代码很有可能会设置在开机自启动位置。

ls -alt | head -n 10 : 查看前10行。

stat 文件名 : 查看文件事件属性

三.基于事件和权限的筛选

find ./ -mtime -1 -name "*.txt" 查找一天内文件属性被改变的文件

find ./ -ctime -1 -name "*.txt" 查找一天内文件内容被改变的文件。

find ./ -atime -1 -name "*.txt" 查找一天内被访问的文件

find ./ -iname "*.txt" -perm 777  查找文件权限为777的文件

-iname:忽略大小写

四.可疑网络连接分析与关闭

netstat -antpl

kill -9 pid : 关闭对应端口

netstat -antpl | grep "ESTABLISHED" 过滤出监听中的端口

五.对进程所对应文件分析

ps -aux : 查看所有进程

ps -aux | grep sshd : 过滤sshd进程

lsof -i:22 查看22端口对应的动作

六.筛选异常登陆

last -i | grep -v 0.0.0.0 查看登陆日志,筛选非本地登陆

w 查看正在登陆的用户 (pts:远程登陆)

七.linux异常用户分析与排查

grep "0:0" /etc/passwd 查看权限为root的用户

八.  linux历史执行命令排查

cat /root/.bash_history

history

九.linux计划任务排查

crontab -l  
crontab -u root -l 查看root用户的定时任务

十.linux开机自启动项排查

ls -al /etc/init.d 存放自启动脚本

cat /etc/rc.local 存放自启动命令

十一.linux异常$PATH排查

echo $PATH  输出环境变量

/etc/profile  编辑该文件,环境变量永久生效

十二.linux后门自动排查

rkhunter : 后门自动排查工具

rkhunter --check --sk


文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDMwNDE2OQ==&mid=2247487053&idx=1&sn=32f0890e732de0628ed93d2e17fa85ec&chksm=c12c388bf65bb19d0f5ea63a6a999ecf402cd94b254e625195452bb7c4a9252afad5e3656169#rd
如有侵权请联系:admin#unsafe.sh