linux应急响应基础和常用命令

linux应急响应

linux应急响应基础和常用命令基于linux系统本身进行应急响应。

系统基础信息获取

获取linux服务器基本信息

命令:

uname -a

在这里插入图片描述

内存cpu信息

cat /proc/cpuinfo
cat /proc/meminfo
lscpu
free -m
lsmod  #查看载入的模块信息

在这里插入图片描述
在这里插入图片描述

进程查看

动态进程查看

top #动态查看进程
ps -ef  #静态查询进程

在这里插入图片描述

在这里插入图片描述

用户信息排查

查询用户信息

cat /etc/passwd

在这里插入图片描述

排查问题用户

常见排查点:
排查用户主要排查三个东西,超级用户权限类似于windows影子用户,查询可以登录的用户和空口令的账户

排查空口令用户

awk -F: ‘{if($3==0)print $1}’ /etc/passwd

在这里插入图片描述

排查可以登录的用户,是否存在不熟悉用户

cat /etc/passwd |grep '/bin/bash'

在这里插入图片描述

查询空口令的用户

awk -F:  ‘length($2)==0 {print $1}’ /etc/passwd

在这里插入图片描述

排查用户登录相关

查看错误的登录信息,这个虚拟机是刚刚安装的没有内容

lastb

最后登录信息

lastlog

在这里插入图片描述

最近的登录日日志

last

在这里插入图片描述

who当前登录状态
在这里插入图片描述

进程和网络排查

上面的查询进程top和ps -ef
在这里插入图片描述
在这里插入图片描述

排查网络连接状态

查询网络连接状态

netstat 

常用命令

netstat -anptu

详细命令

netstat –help

在这里插入图片描述

简单案例分析

本机启动一个python的httpserver,假设是攻击者的外联,外联状态一般为(establish)

python -m SimpleHTTPServer

在这里插入图片描述

lsof -p PID 查询详细进程信息

lsof -p 13122

在这里插入图片描述

如果有恶意程序的话直接

Kill -9 PID(进程号)
这样就可以直接关闭进程
在这里插入图片描述
查看进程详细信息,发现没有在监听8000端口了,也没有python进程了。


敏感文件排查

常见的敏感文件路径有/tmp下、~/.ssh、、/etc/ssh还有web根路径和web上传路径等等。

find命令查找可疑文件

常用命令find命令
在这里插入图片描述

常用参数
find -type f/l/d 查找文件类型、链接类型、类型

根据修改,访问,创建时间来查询文件
-mtime -n +n 修改文件的时间范围 -n 为几天内, +n 指的是几天前。
-atime -n +n 文件访问时间范围 -n 为几天内, +n 指的是几天前。
-ctime -n +n 创建文件时间范围 -n 为几天内, +n 指的是几天前。

案例:
查询最近10分钟内修改的sh文件

find / -mmin -10 -type f -name "*.sh" 2>/dev/null

在这里插入图片描述
列出说有文件并按时间排序

ls -alt 

在这里插入图片描述

stat  #文件名可以查看文件详细修改创建访问时间

在这里插入图片描述

查询uid权限文件(uid权限文件可用于,权限提升)

find  / -type f -perm -04000 2>/dev/null
find  / -type f -perm -04000 -ls -uid 0  2>/dev/null

在这里插入图片描述
还可以ls -alh查询文件,如果是最近被修改的或者文件大小异常结合日志判断很有可能是木马(我这里没有,展示命令)

ls -alh /bin

在这里插入图片描述


日志排查

常见日志目录

Linux下常见的日志,linux的日志一般存放在”/var/log” 目录下
常见的日志
/var/log/cron 计划任务日志
/var/log/wtmp 登录日志,也就是last
/var/log/message 系统启动的错误日志
/var/log/lastlog 记录登录的用户日志,也就是lastlog命令
/var/log/secure 记录输入账号密码登录的日志
/var/log/faillog 记录登录失败的日志

常见的其他服务日志
/var/spool/mail 邮件日志

网站日志
Tomcat日志
在tomcat安装目录下的/log

Nginx日志
/var/log/nginx/access.log

Apache日志
/var/log/httpd/access.log
/var/log/apache/ access.log
/var/log/apache2/ access.log
/var/log/httpd-access.log

数据库日志
Mysql默认路径在
/var/log/mysql/
如果没在可以使用 show variables like ‘genneral’ 命令查找日志路径

Oracle数据默认路径子啊
$ORACLE/rdbms/log 目录下

在这里插入图片描述
除了cat查看日志外还可以使用tail 、head、awk和grep等命令进行查找和检索。


流量分析

tcpdump抓去网络流量

使用tcpdump命令进行抓包
我的这里的网卡名称为:ens33

案例抓取ens33 网卡所有的流量保存到 test.cap 文件中

tcpdump -i ens33 -w test.cap

在这里插入图片描述
后面可以使用wireshark和科来对数据包进行流量分析。

参考上一篇文章:windows应急响应基础
https://blog.csdn.net/qq_41690468/article/details/135045207


恶意文件、病毒

webshell查杀

D盾_webshell查杀

http://www.d99net.net/

百度WEBDIR+在线查杀

https://scanner.baidu.com/

河马

https://www.shellpub.com/

Web Shell Detector

官方网站:http://www.shelldetector.com/
github项目地址:https://github.com/emposha/PHP-Shell-Detector

长亭牧云CloudWalker

在线查杀demo:https://webshellchop.chaitin.cn/
github项目地址:https://github.com/chaitin/cloudwalker

深度学习模型检测PHP Webshell

http://webshell.cdxy.me/

PHP Malware Finder

github项目地址:https://github.com/jvoisin/php-malware-finder

findWebshell

github项目地址:https://github.com/he1m4n6a/findWebshell

在线webshell查杀工具

http://tools.bugscaner.com/killwebshell/

杀毒软件

  • ClamAV - 具有GUI的开源免费防病毒扫描程序
  • rkhunter - 基于行为的rootkit扫描,仅支持命令行
  • sophos - 对单一用户免费,扫描并清理恶意程序,仅支持命令行
  • firetools - 具有GUI的沙盒软件,能够有效预防恶意网络脚本
  • qubes - 致力于尽可能保护计算机安全的发行版本

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/230030.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

7.实现任务的rebalance

1.设计 1.1 背景 系统启动后,所有任务都在被执行,如果这时某个节点宕机,那它负责的任务就不能执行了,这对有稳定性要求的任务是不能接受的,所以系统要实现rebalance的功能。 1.2 设计 下面是Job分配与执行的业务点…

基于PyCharm实现串口GUI编程

工具效果如下如所示 下面简单介绍一下操作流程 1.打开PyCharm软件 2.创建一个工程 3.给该工程命名 4.在main.py里面黏贴如下的代码 # This is a sample Python script. # Press ShiftF10 to execute it or replace it with your code. # Press Double Shift to search everyw…

【LeetCode刷题笔记(3)】【Python】【最长连续序列】【中等】

文章目录 最长连续序列题目描述示例示例 1示例 2 提示 解决方案解决方案1:【集合去重】【遍历数组查找元素】避免无效计数方案1的可行性分析 解决方案2:【集合去重】 【遍历集合查找元素】运行结果复杂度分析 结束语 最长连续序列 最长连续序列 题目描述…

c语言 文件与文件操作

🏠 一.引言 我们日常生活中会将我们制作的ppt,word等存放在文件里进行归类,你是否知道我们能用cC语言对文件进行操作呢(比如文件的打开,关闭和读写等)?那接下来跟博主一起来学习下吧。 🏠二.什么是文件 磁盘上的文件就…

<VR串流线方案> PICO 4 Pro VR串流线方案 Oculus Quest2 Link串流线方案

虚拟现实技术(英文名称:Virtual Reality,缩写为VR),又称虚拟实境或灵境技术,是20世纪发展起来的一项全新的实用技术。虚拟现实技术囊括计算机、电子信息、仿真技术,其基本实现方式是以计算机技术为主,利用并…

MES系统工单进度查询:提升生产控制与监控

在MES系统中,工单进度查询是一个至关重要的功能,它为企业提供了实时、准确地追踪和监控生产工单进度的能力。 一、MES系统工单进度查询的重要性 1. 实时监控生产进度:通过工单进度查询,企业能够随时了解每个工单的进展情况&#…

qt实现基本文件操作

先通过ui界面实现基本框架 接下来就要实现每个按键的功能了 我们先来实现新建的的功能,我们右键新建键,可以发现没有转到槽的功能,因此我们要自己写connect来建立关系。 private slots:void newActionSlot(); 在.h文件中加上槽函数。 conne…

【ZYNQ学习】PL第一课

这节课讲什么? 这节课的名字本来是想写为LED,但这一课里除了LED也有按键,又想换为GPIO控制,但关于PL的GPIO控制,不应该这么草率和简单,而且这一课有很多和ZYNQ或者PL关联性不强的东西要说。 所以我写了删删…

【Go】基于GoFiber从零开始搭建一个GoWeb后台管理系统(四)用户管理、部门管理模块

第一篇:【Go】基于GoFiber从零开始搭建一个GoWeb后台管理系统(一)搭建项目 第二篇:【Go】基于GoFiber从零开始搭建一个GoWeb后台管理系统(二)日志输出中间件、校验token中间件、配置路由、基础工具函数。 …

眼镜店验光配镜处方单打印管理系统软件教程

一、前言 1、眼镜店原始的手写处方单逐步被电脑打印单取代 2、使用电脑开单,记录可以保存可以查询,而且同一个人配镜可以对比之前的信息 软件下载或技术支持可以点击最下方官网卡片 如上图,该软件有顾客信息模块,旧镜检查模块…

Acre1-6000电气火灾监控系统在工矿企业的应用——安科瑞 顾烊宇

摘要:主要介绍了电气火灾的主要原因、几种电气火灾监控系统的构成和设立意义。参照各规范,讨论了宜设立电气火灾监控系统的场所。该系统的设立可大大减少电气火灾事故的发生,对保证人们的生命财产安全具有重要意义。 关键词:电气火灾&#x…

极智开发 | macwindows本地部署安装AIGC绘图工具Stable Diffusion WebUI

欢迎关注我的公众号 [极智视界],获取我的更多经验分享 大家好,我是极智视界,本文分享一下 mac&windows本地部署安装AIGC绘图工具Stable Diffusion WebUI。 邀您加入我的知识星球「极智视界」,星球内有超多好玩的项目实战源码和资源下载,链接:https://t.zsxq.com/0ai…

Redis-对象

参考资料 极客时间Redis(亚风) Redis对象 String • 基本编码⽅式是RAW,基于简单动态字符串(SDS)实现,存储上限为512mb。 • 如果存储的SDS⻓度⼩于44字节,则会采⽤EMBSTR编码,此…

2023年国家基地“楚慧杯”网络空间安全实践能力竞赛 Wp 一点WP

MISC 参考文章: 天权信安“”2023年国家基地“楚慧杯”网络安全实践能力竞赛初赛WriteUp ez-zip 使用脚本解套娃压缩包 import io import zipfilewith open("4096.zip", "rb") as f:data f.read()info "666"while True:with zi…

AttributeError: module ‘jax‘ has no attribute ‘Array‘解决方案

大家好,我是爱编程的喵喵。双985硕士毕业,现担任全栈工程师一职,热衷于将数据思维应用到工作与生活中。从事机器学习以及相关的前后端开发工作。曾在阿里云、科大讯飞、CCF等比赛获得多次Top名次。现为CSDN博客专家、人工智能领域优质创作者。…

Linux——Ubuntu搭建FTP 时ftp: connect: Connection refused

如何解决ftp: connect: Connection refused? 分析:vsftpd.conf配置文件中默认ipv4:listenNO,ipv6:listen_ipv6YES,默认使用ipv6地址 解决方法:在配置文件中将listenYES开启,并且把listen_ipv6YES注释,重新启动vsftpd…

金蝶云星空和聚水潭单据接口对接

金蝶云星空和聚水潭单据接口对接 接入系统:聚水潭 聚水潭SaaSERP于2014年4月上线,目前累计超过2.5万商家注册使用,成为淘宝应用服务市场ERP类目商家数和商家月订单增速最快的ERP。2014年及2015年“双十一”当天,聚水潭SaaSERP平稳…

初识迭代器(Iterator)——迭代器模式——迭代加深(后续更新...)

学习网页: Welcome to Python.orghttps://www.python.org/ 迭代器(Iterator) 迭代器是一个非常有用的Python特性,它允许我们遍历一个容器(如列表、元组、字典、集合等)的元素。迭代器提供了一种方法&…

Vue中的数据变化监控与响应——深入理解Watchers

目录 ​编辑 前言 1. 基本用法: 2. 深度监听: 3. 立即执行: 4. 监听多个数据: 5. 清理监听器: 6. 监听路由变化: 总结: 我的其他博客 前言 在Vue.js中,watch是一种用于监听…

Kafka本地安装⭐️(Windows)并测试生产消息以及消费消息的可用性

2023.12.17 天气晴 温度较低 十点半,不是不想起实在是阳光浴太nice了日常三连,喂,刷,肝刷会儿博客,看会儿设计模式冷冷冷 进被窝 刷视频 睡觉看看kafka的本地部署 》》实践》》成功写会儿博客&#xff0c…