应急响应-Linux-文件痕迹排查

敏感目录

Linux系统铭感目录如下。

/tmp
  • /tmp目录和命令目录/usr/bin /usr/sbin等经常作为恶意软件下载根目录及相关文件被替换的目录。文件名为crloger8的木马下载到/tmp目录下,如图所示
~/.ssh及/etc/ssh
  • 需要查看是否存在.ssh或者ssh文件
    • ls -la /home/once
  • 这两个文件也经常作为一下后门配置的路径,需要重点检查,如图所示,可以看到后门的账号和密码
时间点查找
find命令
  • 通过列出工具日期内变动的文件,可发现相关的恶意软件。通过【find】命令可对某一段时间段内增加的文件进行查找。以下为常用的【find】命令。
  • find:在指定目录下查找文件
    • -type b/d/c/p/l/f:查找块设备、目录、字符设备、管道、符号链接、普通文件。
    • -mtime -n +n:按文件更改时间来查找文件,-n指n天以内,+n指n天前。
    • -atime -n +n:按文件访问时间来查找文件,-n指n天以内,+n指n天前。
    • -ctime -n +n :按文件创建时间来查找文件,-n指n天以内,+n指n天前。
    • 使用命令【find / -ctime 0 -name "*.sh"】,可查找一天内新增的sh文件,如图所示
  • 在查看指定目录时,也可以对文件时间进行排序,图中是使用命令【ls -alt | head -n 10】查看排序后前10行的内容。
对文件的创建时间、修改时间、访问时间进行排查
  • 使用【stat】命令可以详细查看文件的创建时间、修改时间、访问时间,若修改时间距离应急响应事件日期接近,有线性关联,说明可能被篡改。使用【stat commandi.php】命令查询文件commandi.php的时间信息,如图所示
特殊文件
  • Linux系统中的恶意文件存在特定的设置、特定的关键字信息等。Linux系统中的几种特殊文件类型可以按照以下方法进行排查。
特殊权限文件
  • 查找777权限的文件,使用命令【find /tmp -perm 777】,可发现存在三个文件
webshell查找
  • webshell的排查可以通过分析文件、流量、日志进行,基于文件的命名特征和内容特征,相对操作性较高。通过分析文件的方法进行查找,可以从webshell中常出现的一些关键字着手,对文件进行筛选,缩小排查的范围。如,使用如图所示的语句,其中【find /var/www/ -name "*.php"】命令是查找“/var/www”目录下的所有php文件,【xargs egrep】及之后的命令是查询php文件是否包含后面的关键字。
  • 除了初筛的方法,还可以使用findWebshell、Scan_Webshell.py等进行扫描排查。
系统命令进行排查 ls ps
  • 对系统命令进行排查。【ls】和【ps】等命令很有可能被工具者恶意替换,所以可以使用【ls -alt /bin】命令,查看命令目录中相关系统命令的修改时间,从而进行排查,如图所示。
  • 也可以使用【ls -alh /bin】命令查看相关文件的大小,若明显偏大,则文件很有可能被替换,如图所示。
Linux后门检测
  • 可以使用第三方查杀工具(如chkrootkit、rkhunter)进行查杀。chkrootkit工具用来监测rootkit是否被安装到当前系统中。rookit是攻击者经常使用的后门程序。这类后门程序通常非常隐秘、不易被察觉,植入后,等于为攻击者建立了一条能够长时间入侵系统或可对系统进行实时控制的途径。因此,使用chkrootkit工具可定时监测系统,以保证系统的安全。
    • 若使用chkrootkit时,若出现infected,则说明检测出系统后门;若未出现,则说明未检出出系统后门,如图所示。也可以使用【chkrootkit -q | grep INFECTED】命令检测并筛选出存在infected的内容。
    • 使用rkhunter可以进行系统命令(Binary)监测,包括MD5校验、rootkit检测、本机敏感目录检测、系统配置检测、服务及套件异常检测、第三方应用版本检测等。排查情况如图所示。
排查SUID程序
  • 即对于一些设置了SUID权限的程序进行排查,可以使用【find / -type f -perm -04000 -ls -uid 0 2>/dev/null】命令,如图所示。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/648192.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

力扣354. 俄罗斯套娃信封问题

动态规划 思路: 同时控制 w、h 两个维度比较复杂,可以先固定一个维度,来找出另外一个维度的严格单调序列: 对 w 排序,然后再来找 h 维度严格单调递增序列长度;在 w 排序时,会遇到 w(i) w(j) 的…

C语言中的const修饰符:如何使用和理解它

C语言是一种非常强大和灵活的编程语言,它可以直接访问和操作底层的硬件和系统资源,从而实现高效和精确的程序控制。但是,C语言也有一些限制和缺陷,如类型检查不严格、变量作用域不明确、指针操作不安全等。这些问题会导致C语言的代…

JWT登录

JWT JSON Web Token(JSON Web令牌) 是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密〈使用HNAC算法…

【spdk】spdk compressdev测试

spdk-23.09\go\rpc\README.md go client 启应用 启哪个应用? ./build/bin/iscsi_tgt --wait-for-rpc & /usr/local/daos-2.4/prereq/release/spdk/share/spdk/scripts/rpc.py bdev_malloc_create -b Malloc0 1024 4096 #1G bs4k /usr/local/daos-2.4/prereq…

多路摄像头的ONVIF协议兼容

选择摄像头时,应当优先选择支持通用开放标准的摄像头,如ONVIF(Open Network Video Interface Forum)标准。ONVIF是一个开放的行业标准,旨在促进IP安全性设备的互操作性。 简介 ONVIF(Open Network Video …

Spring Boot整合Swagger2

Spring Boot整合Swagger2 大家好,我是免费搭建查券返利机器人赚佣金就用微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿!今天,我们将一起探讨如何在Spring Boot项目中整合Swagger2,一个强大…

Spyder安装与使用

Spyder是一个Python的集成开发环境(IDE),由科学家、工程师和数据分析师设计。它提供了强大的编辑、调试和分析功能,以及数据探索和可视化工具,特别适合科学计算和数据分析。 Spyder的主要特点包括: 编辑器…

央视推荐的护眼灯是哪款?护眼灯品牌推荐

可能有些父母没有深入考虑过这样的问题:“台灯这东西只是照明,亮就可以了”、“黄光或者白光都行,孩子能看清书本就行”等类似的声音我也听一些朋友说过。但是科技社会带来的改变是全方位提升,学习台灯自然不例外。 今天就给大家分…

TS基本类型的响应式数据

ref 创建:基本类型的响应式数据 作用:定义响应式变量。 语法:let xxx ref(初始值)。 返回值:一个RefImpl的实例对象,简称ref对象或ref,ref对象的value属性是响应式的。 注意点: JS中操作数据…

JAVA_EE_api_中英文对照版

点击即可下载: JAVA_EE_api_中英文对照版

内网环境横向移动——如何防范

黑客横向移动的手段已经非常成熟。除了病毒中的自动化横向移动模块,目前也已经有许多横向移动的工具被广泛使用。因此,对横向移动的防护是目前内网安全防护中的重中之重。其核心目标是,即使黑客进入企业内网,也能通过一系列防护手…

RockChip DRM Display Driver

资料来源: 《Rockchip_DRM_Display_Driver_Development_Guide_V1.0.pdf》 《Rockchip_Developer_Guide_DRM_Display_Driver_CN.pdf》 一:DRM概述 DRM(Direct Rendering Manager)直接渲染管理,buffer分配,帧缓冲。对应userspace库位libdrm,libdrm库提供了一系列友好的…

vue3使用特殊字符@、~代替路径src

在vite.config.js中引入 import { resolve } from pathexport default defineConfig({resolve:{alias:{~:resolve(__dirname,src)}} })vue3使用特殊字符、~代替路径src_vue3 ~/-CSDN博客

儿童护眼台灯哪个牌子好?高端儿童护眼灯品牌推荐

科技的快速发展使我们的生活与电子设备密不可分,不论是学习、工作还是娱乐,我们都离不开这些电子产品。然而,长时间使用电子设备往往会引发眼睛疲劳、干涩等问题,因此,选择一款优质的护眼台灯显得尤为重要。 ①护眼台灯…

Git笔记:常用使用Git命令+使用Git关联本地仓库和远程仓库操作步骤

Git 分布式版本控制系统 常用Git命令 创建一个管理代码的文件目录右键Git Bath打开完成配置信息,输入个人用户名、邮件信息 git config --global user.name 用户名 git config --global user.email 邮箱地址初始化仓库 git init: 初始化仓库 文件目录里会出现一个…

Springfox Swagger3从入门案例

首先&#xff0c;在pom.xml中添加依赖&#xff1a; <dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>io…

ElasticSearch介绍

ElasticSearch介绍 Elasticsearch是一个基于Lucene的搜索服务器提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口Elasticsearch是用Java语言开发的,并作为Apache许可条款下的开放源码发布,是一种流行的企业级搜索引擎。Elasticsearch用于云计算中,能够达到近…

2.依附弹窗(AttachListPopup)

愿你出走半生,归来仍是少年&#xff01; 环境&#xff1a;.NET 7 基于基础的Popup对象实现的依附于某个控件的弹窗&#xff0c;弹窗可呈现数组对象&#xff0c;达到较好的选择交互效果。 1.布局 通过Border实现圆角边框轮廓&#xff0c;然后通过内部的ListView实现列表展示。…

自动化防DDoS脚本

简介 DDoS &#xff08;分布式拒绝服务攻击&#xff09;是一种恶意的网络攻击&#xff0c;旨在通过占用目标系统的资源&#xff0c;使其无法提供正常的服务。在DDoS攻击中&#xff0c;攻击者通常控制大量的被感染的计算机或其他网络设备&#xff0c;同时将它们协调起来向目标系…

Java项目:15 springboot vue的智慧养老手表管理系统

作者主页&#xff1a;舒克日记 简介&#xff1a;Java领域优质创作者、Java项目、学习资料、技术互助 文中获取源码 项目介绍 本系统共分为两个角色&#xff1a;家长&#xff0c;养老院管理员 框架&#xff1a;springboot、mybatis、vue 数据库&#xff1a;mysql 5.7&#xf…