Linux应急响应

1.排查账号

进行linux应急响应,首先你得优先查看是否多出来了管理员

(1)查询特权用户特权用户(uid 为0)

awk -F: '$3==0{print $1}' /etc/passwd

(2)查询进行远程链接的账号信息

awk '/\$1|\$6/{print $1}' /etc/shadow

(3)排查其余账号是否拥有sudo权限

more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

若你的账户出现了:

%admin ALL=(ALL) ALL

那就证明你的服务器开设了很大权限给别的用户,所有账户都有sudo的权限,那就必须尽快修改。

(4)删除可疑账号命令:

userdel user

 2.历史排查 

在linux应急响应中,如果你的服务器没有多出来的账户,那就再查看一手历史命令

# 清空历史命令并清空当前登录会话执行命令
echo > $home./bash_history

虽然大概率历史命令都会被黑客排查出来删除(上述),但是万一黑客没注意历史命令呢?

 查看历史命令:

history

保存历史命令: 

进入用户目录下
cat .bash_history >> history.txt

3.进程排查

经过了前两步的排查,只能说黑客隐藏的很好,此时应该进行进程排查:

ps aux | grep pid

 进程排查非常重要,

 若是发现有某些特别大的未知进程,比较烧CPU的,那就证明你的服务器可能已经被拉去挖矿了

4.端口排查

sudo netstat -an   # 显示所有当前的网络连接(包括TCP和UDP)
sudo lsof -i :端口号   # 查看占用特定端口号的进程情况

5.查看系统日志

系统日志中也会记录用户的登录活动和执行的命令。关键的日志文件通常位于/var/log目录下,重点审核的系统日志:

cat /var/log/auth.log   # 查看认证日志,记录用户的登录和退出

cat /var/log/utmp

#记录当前已经登录的用户信息,这个文件会随着用户的登录和注销不断变化,只记录当前登
录用户的信息。同样这个文件不能直接vi,而要使用w,who,users等命令来查询 

cat /var/log/secure

 记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换
用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中。

cat /var/log/message

 记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息,如果系
统出现问题时,首先要检查的就应该是这个日志文件

这里着重查看用户的登录/var/log/secure活动和执行的命令,可以查看到攻击的地方,可以更好地排查。

但是这块通常会被黑客重点关注:

truncate -s 0 logfile.log

来一条这个命令估计就老实了,直接把文件日志清空,但是这个动静比较大,一般都是把近一个小时内的系统文件日志删除:

(1). 查找指定时间范围内的日志文件

使用find命令查找特定时间范围内修改过的文件,例如查找60分钟(1小时)内修改过的文件

sudo find /var/log -type f -mmin -60
  • /var/log:这里是日志文件通常存储的目录,具体路径可能因系统而异。-type f:表示只查找普通文件,排除目录和特殊文件。-mmin -60:表示查找60分钟内修改过的文件。使用-mmin -60表示60分钟内,使用-mmin +60表示60分钟前。

(2). 删除找到的日志文件

一旦确认找到了需要删除的日志文件,可以将find命令与rm命令结合,进行文件删除操作。

sudo find /var/log -type f -mmin -60 -exec rm {} \;

这条命令会删除/var/log目录下60分钟内修改过的所有普通文件。使用-exec rm {} \;表示对找到的每一个文件执行rm命令。

通过上面的例子:我只是想说linux的排查必须得全面且周全,因为无论历史命令或者文件日志都是可以进行删除的,文件也可以进行隐藏,所以必须细致。

6.自启动排查:

systemctl list-unit-files | grep enabled

7.异常文件排查


1、查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以“..”为名的文件夹具有隐藏属性
2、得到发现webshell以后可以使用find命令来查找,如 find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前访问过的文件
3、针对可疑文件可以使用stat进行创建修改时间。

8.病毒查杀(工具)

ClamAV的官方下载地址为:http://www.clamav.net/download.html

使用方式:

/opt/clamav/bin/clamscan -r /  

扫描计算机上的所有文件并且显示所有的文件的扫描结果

这里强烈建议使用图形化界面,

ClamTK Virus Scanner

ClamTK本身不是病毒扫描程序,它是一个易于使用的图形界面,用于Linux的ClamAV反病毒

当然还有:

Armadito

Armadito是适用于Windows和Linux的病毒扫描程序,它通过扫描包括恶意软件,特洛伊木马等在内的多种攻击来保护你的计算机。

参考:小雨淅淅o0------<<linux病毒扫描工具ClamAV使用>>

最后,希望文章对各位有所帮助,谢谢!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/47853.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

DB-GPT:LLM应用的集大成者

整体架构 架构解读 可以看到&#xff0c;DB-GPT把架构抽象为7层&#xff0c;自下而上分别为&#xff1a; 运行环境&#xff1a;支持本地/云端&单机/分布式等部署方式。顺便一提&#xff0c;RAY是蚂蚁深度参与的一个开源项目&#xff0c;所以对RAY功能的支持应该非常完善。…

Vue自定义指令与Vue插槽学习

文章目录 自定义指令1.指令介绍2.自定义指令3.自定义指令语法4.指令中的配置项 自定义指令-指令的值1.使用效果2.语法 插槽-默认插槽1.作用2.用处4.插槽的基本语法 插槽-具名插槽1.作用2.具名插槽语法3.v-slot的简写 插槽总结1.插槽分类2.作用3.场景4.使用步骤 自定义指令 1.指…

实现Nginx的反向代理和负载均衡

一、反向代理和负载均衡简介 1.1、反向代理 反向代理(reverse proxy)指:以代理服务器来接受Internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给Internet上请求连接的客户端。此时代理服务器对外就表现为一个反向代理服务器。 反向代…

【Android Compose】ListView效果

【Android Compose】ListView效果 1、Column、Row 和 Box2、LazyColumn和LazyRow3、Compose 中的状态4、ListView效果5、android-compose-codelabs Jetpack Compose 使用入门 Jetpack Compose 教程 Jetpack Compose 1、Column、Row 和 Box Compose 中的三个基本标准布局元素是 …

算法day05 master公式估算递归时间复杂度 归并排序 小和问题 堆排序

2.认识O(NlogN)的排序_哔哩哔哩_bilibili master公式 有这样一个数组&#xff1a;【0&#xff0c;4&#xff0c;2&#xff0c;3&#xff0c;3&#xff0c;1&#xff0c;2】&#xff1b;假设实现了这样一个sort()排序方法&#xff0c; 将数组二分成左右两等分&#xff0c;使用so…

ubuntu如何安装Redis

文章目录 Ubuntu 版本安装配置密码 Ubuntu 版本 22.04 安装 在 Ubuntu 中安装 Redis 可以按照以下步骤进行&#xff1a; 更新软件包列表 sudo apt update安装 Redis sudo apt install redis-server安装完成后&#xff0c;Redis 服务会自动启动。您可以使用以下命令检查 R…

linux、windows、macos,命令终端清屏

文章目录 LinuxWindowsmacOS 在Linux、Windows和macOS的命令终端中&#xff0c;清屏的命令或方法各不相同。以下是针对这三种系统的清屏方法&#xff1a; Linux clear命令&#xff1a;这是最常用的清空终端屏幕的命令之一。在终端中输入clear命令后&#xff0c;屏幕上的所有内容…

【计算机网络】TCP/IP——流量控制与拥塞控制

学习日期&#xff1a;2024.7.22 内容摘要&#xff1a;TCP的流量控制与拥塞控制 流量控制 一般来说&#xff0c;我们总是希望数据传输的快一些&#xff0c;但是如果数据传输的太快&#xff0c;接收方可能就来不及接收&#xff0c;这就会导致数据的丢失&#xff0c;流量控制正是…

Vue中渲染函数

why? 在绝大多数情况下&#xff0c;Vue 推荐使用模板语法来创建应用。然而在某些使用场景下&#xff0c;我们真的需要用到 JavaScript 完全的编程能力。这时渲染函数就派上用场了。 例如&#xff1a;下方要在多个模型上方设置对话框&#xff0c;如果使用Vue模板语法相对较困难…

小技巧:如何在已知PDF密码情况下去掉PDF的密码保护

第一步&#xff0c;用Edge打开你的pdf&#xff0c;输入密码进去 第二步&#xff0c;点击打印 第三步&#xff0c;选择导出PDF&#xff0c;选择彩印 第四步&#xff0c;选择导出位置&#xff0c;导出成功后打开发现没有密码限制了&#xff01;

什么是长效住宅IP?

长效住宅IP的定义 长效住宅IP&#xff0c;简而言之&#xff0c;是指长期稳定、非动态更换的住宅网络IP地址。这类IP地址通常由互联网服务提供商&#xff08;ISP&#xff09;分配给居民家庭用户&#xff0c;用于上网、网络通信等日常网络活动。与传统的动态IP相比&#xff0c;长…

【Flutter 面试题】 使用成熟状态管理库的弊端有哪些?

【Flutter 面试题】 使用成熟状态管理库的弊端有哪些? 文章目录 写在前面口述回答补充说明写在前面 🙋 关于我 ,小雨青年 👉 CSDN博客专家,GitChat专栏作者,阿里云社区专家博主,51CTO专家博主。2023博客之星TOP153。 👏🏻 正在学 Flutter 的同学,你好! 😊 …

数据结构day5

一、思维导图 二、课后练习 1、使用循环链表完成约瑟夫环问题 2、使用栈&#xff0c;完成进制转换&#xff08;输入&#xff1a;一个整数&#xff0c;进制数&#xff0c;输出&#xff1a;该数的对应的进制数&#xff09; //头文件 #ifndef DEC_TO_BIN_H #define DEC_TO_BIN_H…

【WAF剖析】10种XSS某狗waf绕过姿势,以及思路分析

原文&#xff1a;【WAF 剖析】10 种 XSS 绕过姿势&#xff0c;以及思路分析 xss基础教程参考&#xff1a;https://mp.weixin.qq.com/s/RJcOZuscU07BEPgK89LSrQ sql注入waf绕过文章参考&#xff1a; https://mp.weixin.qq.com/s/Dhtc-8I2lBp95cqSwr0YQw 复现 网站安全狗最新…

Electron 渲染进程直接调用主进程的API库@electron/remote引用讲解

背景 remote是个老库&#xff0c;早期Electron版本中有个remote对象&#xff0c;这个对象可以横跨所有进程&#xff0c;随意通信&#xff0c;后来官方认为不安全&#xff0c;被干掉了&#xff0c;之后有人利用Electron的IPC通信&#xff0c;底层通过Promise的await能力&#x…

pytorch lightning报错all tensors to be on the same device

RuntimeError: Expected all tensors to be on the same device, but found at least two devices, cuda:0 and cpu! 修改指定为gpu trainer pl.Trainer(max_epochstrain_params.iterations, loggertb_logger,acceleratorgpu, devices1)

Air780EP- AT开发-阿里云应用指南

简介 使用AT方式连接阿里云分为一机一密和一型一密两种方式&#xff0c;其中一机一密又包括HTTP认证二次连接和MQTT直连两种方式 关联文档和使用工具&#xff1a; AT固件获取在线加/解密工具阿里云平台 准备工作 Air780EP_全IO开发板一套&#xff0c;包括天线SIM卡&#xff0…

PHP身份证实名认证接口集成守护电商购物

在这个万物互联的世界里&#xff0c;网购已成为日常生活中不可或缺的一部分。然而&#xff0c;随着线上交易的增加&#xff0c;如何保护消费者和商家免受欺诈&#xff0c;确保每一笔交易的安全&#xff0c;成了亟待解决的难题。这时&#xff0c;身份证实名认证接口应运而生&…

在Windows安装、部署Tomcat的方法

本文介绍在Windows操作系统中&#xff0c;下载、配置Tomcat的方法。 Tomcat是一个开源的Servlet容器&#xff0c;由Apache软件基金会的Jakarta项目开发和维护&#xff1b;其提供了执行Servlet和Java Server Pages&#xff08;JSP&#xff09;所需的所有功能。其中&#xff0c;S…

机械学习—零基础学习日志(高数09——函数图形)

零基础为了学人工智能&#xff0c;真的开始复习高数 函数图像&#xff0c;开始新的学习&#xff01; 幂函数 利用函数的性质&#xff0c;以幂函数为例&#xff0c;因为单调性相同&#xff0c;利用图中的2和3公式&#xff0c;求最值问题&#xff0c;可以直接将式子进行简化。这…