应急响应-Linux-文件痕迹排查

敏感目录

Linux系统铭感目录如下。

/tmp
  • /tmp目录和命令目录/usr/bin /usr/sbin等经常作为恶意软件下载根目录及相关文件被替换的目录。文件名为crloger8的木马下载到/tmp目录下,如图所示
~/.ssh及/etc/ssh
  • 需要查看是否存在.ssh或者ssh文件
    • ls -la /home/once
  • 这两个文件也经常作为一下后门配置的路径,需要重点检查,如图所示,可以看到后门的账号和密码
时间点查找
find命令
  • 通过列出工具日期内变动的文件,可发现相关的恶意软件。通过【find】命令可对某一段时间段内增加的文件进行查找。以下为常用的【find】命令。
  • find:在指定目录下查找文件
    • -type b/d/c/p/l/f:查找块设备、目录、字符设备、管道、符号链接、普通文件。
    • -mtime -n +n:按文件更改时间来查找文件,-n指n天以内,+n指n天前。
    • -atime -n +n:按文件访问时间来查找文件,-n指n天以内,+n指n天前。
    • -ctime -n +n :按文件创建时间来查找文件,-n指n天以内,+n指n天前。
    • 使用命令【find / -ctime 0 -name "*.sh"】,可查找一天内新增的sh文件,如图所示
  • 在查看指定目录时,也可以对文件时间进行排序,图中是使用命令【ls -alt | head -n 10】查看排序后前10行的内容。
对文件的创建时间、修改时间、访问时间进行排查
  • 使用【stat】命令可以详细查看文件的创建时间、修改时间、访问时间,若修改时间距离应急响应事件日期接近,有线性关联,说明可能被篡改。使用【stat commandi.php】命令查询文件commandi.php的时间信息,如图所示
特殊文件
  • Linux系统中的恶意文件存在特定的设置、特定的关键字信息等。Linux系统中的几种特殊文件类型可以按照以下方法进行排查。
特殊权限文件
  • 查找777权限的文件,使用命令【find /tmp -perm 777】,可发现存在三个文件
webshell查找
  • webshell的排查可以通过分析文件、流量、日志进行,基于文件的命名特征和内容特征,相对操作性较高。通过分析文件的方法进行查找,可以从webshell中常出现的一些关键字着手,对文件进行筛选,缩小排查的范围。如,使用如图所示的语句,其中【find /var/www/ -name "*.php"】命令是查找“/var/www”目录下的所有php文件,【xargs egrep】及之后的命令是查询php文件是否包含后面的关键字。
  • 除了初筛的方法,还可以使用findWebshell、Scan_Webshell.py等进行扫描排查。
系统命令进行排查 ls ps
  • 对系统命令进行排查。【ls】和【ps】等命令很有可能被工具者恶意替换,所以可以使用【ls -alt /bin】命令,查看命令目录中相关系统命令的修改时间,从而进行排查,如图所示。
  • 也可以使用【ls -alh /bin】命令查看相关文件的大小,若明显偏大,则文件很有可能被替换,如图所示。
Linux后门检测
  • 可以使用第三方查杀工具(如chkrootkit、rkhunter)进行查杀。chkrootkit工具用来监测rootkit是否被安装到当前系统中。rookit是攻击者经常使用的后门程序。这类后门程序通常非常隐秘、不易被察觉,植入后,等于为攻击者建立了一条能够长时间入侵系统或可对系统进行实时控制的途径。因此,使用chkrootkit工具可定时监测系统,以保证系统的安全。
    • 若使用chkrootkit时,若出现infected,则说明检测出系统后门;若未出现,则说明未检出出系统后门,如图所示。也可以使用【chkrootkit -q | grep INFECTED】命令检测并筛选出存在infected的内容。
    • 使用rkhunter可以进行系统命令(Binary)监测,包括MD5校验、rootkit检测、本机敏感目录检测、系统配置检测、服务及套件异常检测、第三方应用版本检测等。排查情况如图所示。
排查SUID程序
  • 即对于一些设置了SUID权限的程序进行排查,可以使用【find / -type f -perm -04000 -ls -uid 0 2>/dev/null】命令,如图所示。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/648192.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

力扣354. 俄罗斯套娃信封问题

动态规划 思路: 同时控制 w、h 两个维度比较复杂,可以先固定一个维度,来找出另外一个维度的严格单调序列: 对 w 排序,然后再来找 h 维度严格单调递增序列长度;在 w 排序时,会遇到 w(i) w(j) 的…

JWT登录

JWT JSON Web Token(JSON Web令牌) 是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密〈使用HNAC算法…

Spyder安装与使用

Spyder是一个Python的集成开发环境(IDE),由科学家、工程师和数据分析师设计。它提供了强大的编辑、调试和分析功能,以及数据探索和可视化工具,特别适合科学计算和数据分析。 Spyder的主要特点包括: 编辑器…

央视推荐的护眼灯是哪款?护眼灯品牌推荐

可能有些父母没有深入考虑过这样的问题:“台灯这东西只是照明,亮就可以了”、“黄光或者白光都行,孩子能看清书本就行”等类似的声音我也听一些朋友说过。但是科技社会带来的改变是全方位提升,学习台灯自然不例外。 今天就给大家分…

JAVA_EE_api_中英文对照版

点击即可下载: JAVA_EE_api_中英文对照版

RockChip DRM Display Driver

资料来源: 《Rockchip_DRM_Display_Driver_Development_Guide_V1.0.pdf》 《Rockchip_Developer_Guide_DRM_Display_Driver_CN.pdf》 一:DRM概述 DRM(Direct Rendering Manager)直接渲染管理,buffer分配,帧缓冲。对应userspace库位libdrm,libdrm库提供了一系列友好的…

儿童护眼台灯哪个牌子好?高端儿童护眼灯品牌推荐

科技的快速发展使我们的生活与电子设备密不可分,不论是学习、工作还是娱乐,我们都离不开这些电子产品。然而,长时间使用电子设备往往会引发眼睛疲劳、干涩等问题,因此,选择一款优质的护眼台灯显得尤为重要。 ①护眼台灯…

Git笔记:常用使用Git命令+使用Git关联本地仓库和远程仓库操作步骤

Git 分布式版本控制系统 常用Git命令 创建一个管理代码的文件目录右键Git Bath打开完成配置信息,输入个人用户名、邮件信息 git config --global user.name 用户名 git config --global user.email 邮箱地址初始化仓库 git init: 初始化仓库 文件目录里会出现一个…

Springfox Swagger3从入门案例

首先&#xff0c;在pom.xml中添加依赖&#xff1a; <dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>io…

2.依附弹窗(AttachListPopup)

愿你出走半生,归来仍是少年&#xff01; 环境&#xff1a;.NET 7 基于基础的Popup对象实现的依附于某个控件的弹窗&#xff0c;弹窗可呈现数组对象&#xff0c;达到较好的选择交互效果。 1.布局 通过Border实现圆角边框轮廓&#xff0c;然后通过内部的ListView实现列表展示。…

自动化防DDoS脚本

简介 DDoS &#xff08;分布式拒绝服务攻击&#xff09;是一种恶意的网络攻击&#xff0c;旨在通过占用目标系统的资源&#xff0c;使其无法提供正常的服务。在DDoS攻击中&#xff0c;攻击者通常控制大量的被感染的计算机或其他网络设备&#xff0c;同时将它们协调起来向目标系…

Java项目:15 springboot vue的智慧养老手表管理系统

作者主页&#xff1a;舒克日记 简介&#xff1a;Java领域优质创作者、Java项目、学习资料、技术互助 文中获取源码 项目介绍 本系统共分为两个角色&#xff1a;家长&#xff0c;养老院管理员 框架&#xff1a;springboot、mybatis、vue 数据库&#xff1a;mysql 5.7&#xf…

Linux本地部署SVN服务结合内网穿透实现远程访问

文章目录 前言1. Ubuntu安装SVN服务2. 修改配置文件2.1 修改svnserve.conf文件2.2 修改passwd文件2.3 修改authz文件 3. 启动svn服务4. 内网穿透4.1 安装cpolar内网穿透4.2 创建隧道映射本地端口 5. 测试公网访问6. 配置固定公网TCP端口地址6.1 保留一个固定的公网TCP端口地址6…

uniapp上传音频文件到服务器

视频教程地址&#xff1a; 【uniapp录音上传组件&#xff0c;将录音上传到django服务器】 https://www.bilibili.com/video/BV1wi4y1p7FL/?share_sourcecopy_web&vd_sourcee66c0e33402a09ca7ae1f0ed3d5ecf7c uniapp 录制音频文件上传到django服务器保存到服务器 &#xf…

docker 网络及如何资源(CPU/内存/磁盘)控制

安装Docker时&#xff0c;它会自动创建三个网络&#xff0c;bridge&#xff08;创建容器默认连接到此网络&#xff09;、 none 、host docker网络模式 Host 容器与宿主机共享网络namespace&#xff0c;即容器和宿主机使用同一个IP、端口范围&#xff08;容器与宿主机或其他使…

第140期 为什么有人无脑吹分布式(20240126)

数据库管理140期 2024-01-26 第140期 为什么有人无脑吹分布式&#xff08;20240126&#xff09;1 环境2 场景3 首席补刀总结 第140期 为什么有人无脑吹分布式&#xff08;20240126&#xff09; 作者&#xff1a;胖头鱼的鱼缸&#xff08;尹海文&#xff09; Oracle ACE Associa…

C++ 设计模式之解释器模式

【声明】本题目来源于卡码网&#xff08;卡码网KamaCoder&#xff09; 【提示&#xff1a;如果不想看文字介绍&#xff0c;可以直接跳转到C编码部分】 【设计模式大纲】 【简介】 --什么是解释器模式&#xff08;第22种设计模式&#xff09; 解释器模式&#xff08;Interpreter…

CodeGPT

GitCode - 开发者的代码家园 gitcode.com/ inscode.csdn.net/liujiaping/java_1706242128563/edit?openFileMain.java&editTypelite marketplace.visualstudio.com/items?itemNameCSDN.csdn-codegpt&spm1018.2226.3001.9836&extra%5Butm_source%5Dvip_chatgpt_c…

实力上榜!安全狗入选《CCSIP 2023中国网络安全行业业全景册(第六版)》多个细项

1月24日&#xff0c;Freebuf发布了《CCSIP 2023中国网络安全行业业全景册&#xff08;第六版&#xff09;》。 作为国内云原生安全领导厂商&#xff0c;安全狗也入选多个细分领域。 厦门服云信息科技有限公司&#xff08;品牌名&#xff1a;安全狗&#xff09;创办于2013年&…

学习gin框架知识的小注意点

Gin框架的初始化 有些项目中 初始化gin框架写的是&#xff1a; r : gin.New() r.Use(logger.GinLogger(), logger.GinRecovery(true)) 而不是r : gin.Default() 为什么呢&#xff1f; 点击进入Default源码发现其实他也是new两个中间件&#xff0c;&#xff08;Logger&…