应急响应-Linux
1.关键目录
/ etc/ passwd 记录用户信息
/ etc/ shadow 保存用户密码(hash)
/ etc/ crontab 定时任务文件
/ etc/ anacrontab 异步定时任务文件
/ etc/ rc. d/ rc. local 开机启动项
/ var / log/ btmp 登录失败日志,使用last查看
/ var / log/ cron 定时任务执行日志
/ var / log/ lastlog 所有用户最近登录信息,使用lastlog查看
/ var / log/ secure 验证授权等日志
/ var / log/ wtmp 包含用户登录日志,使用last查看
/ var / log/ utmp 当前登录系统的用户信息,使用last查看
2.常用命令
top 查看进程资源占用情况
ps -aux 查看进程
netstat -antpl 查看网络连接。之后根据pid, ls -alh /proc/pid查看其对应的可执行程序
lsof 开放端口的进程
lastb 登录失败日志
last 系统用户最近登录信息
lastlog 显示所有用户最近的登录信息
crontab -l 查看定时任务
cat /etc/crontab 查看定时任务
history、cat ~/.bash_history 查看历史命令
ls -alt 查看当前目录下所有文件并排序
stat 查看文件夹详细信息通过日志查找登录成功的IP
grep "Accept" /var/log/secure |awk '{print $11}' | sort | uniq -c | sort -nr | more 定位有爆破行为的IP
grep "Failed*" /var/log/secure |awk '{print $11}' | sort | uniq -c | sort -nr | more 查看隐藏进程
ps -ef | awk '{print }' | sort -n | uniq >1
ls /proc | sort -n | uniq >2
diff 1 2
3.校验软件包
rpm -Va、dpkg -vertifyS:表示文件对应大小不一致
M:表示文件对应mode不一致
5:表示文件对应ND5不一致
D:表示文件的major和minor不一致
L:表示文件符号连接内容不一致
U:表示文件owner不一致
G:表示文件group不一致
T:表示文件修改时间不一致一般注重看S、M、5都有标记的文件。因为更新可能会导致大小啥的不一致,但三个全不一致就需要注意是否被篡改
可以使用busybox静态执行命令,防止rpm包被篡改后执行命令回显错误的情况