Linux应急响应.docx-资源下载

Linux应急响应.docx

1、Linux应急响应Linux 应急响应手册概述一个常规的入侵事件的排查思路系统分析1 history文件分析查看分析history (cat /root/.bash_history)，曾经的命令操作痕迹，以便进一步排查溯源。运气好有可能通过记录关联到如下信息：a) wget 远程某主机（域名&IP）的远控文件；b) 尝试连接内网某主机（ssh scp），便于分析攻击者意图;c) 打包某敏感数据或代码，tar zip 类命令d) 对系统进行配置，包括命令修改、远控木马类，可找到攻击者关联信息2 查看分析用户相关分析a) useradd userdel 的命令时间变化（stat），以及是否包含

2、可疑信息b) cat /etc/passwd 分析可疑帐号，可登录帐号查看UID为0的帐号：awk -F: if($3=0)print $1 /etc/passwd查看能够登录的帐号：cat /etc/passwd | grep -E /bin/bash$PS：UID为0的帐号也不一定都是可疑帐号，Freebsd默认存在toor帐号，且uid为0.（toor 在BSD官网解释为root替代帐号，属于可信帐号）3查看分析任务计划a) 通过crontabl l 查看当前的任务计划有哪些，是否有后门木马程序启动相关信息；b) 查看etc目录任务计划相关文件，ls /etc/cron*4查看linux

3、开机启动程序a) 查看rc.local文件（/etc/init.d/rc.local /etc/rc.local）b) ls alt /etc/init.d/c) chkconfig5查看系统用户登录信息a) 使用lastlog命令，系统中所有用户最近一次登录信息。b) 使用lastb命令，用于显示用户错误的登录列表c) 使用last命令，用于显示用户最近登录信息（数据源为/var/log/wtmp，var/log/btmp） utmp文件中保存的是当前正在本系统中的用户的信息。 wtmp文件中保存的是登录过本系统的用户的信息。 /var/log/wtmp 文件结构和/var/run/utm

4、p 文件结构一样，都是引用/usr/include/bits/utmp.h 中的struct utmp6 系统路径分析a)echo $PATH 分析有无敏感可疑信息进程分析1可疑网络分析使用netstat 网络连接命令，分析可疑端口、可疑IP、可疑PID及程序进程命令：netstat antlp | more2 可疑进程分析使用ps 命令，分析进程ps aux | grep pid | grep v grep3 将netstat与ps 结合4 查看系统命令是否被替换两种思路：第一种查看命令目录最近的时间排序，第二种根据确定时间去匹配。ls -alt /usr/bin | head -10ls

6、行创建修改时间、访问时间的详细查看，若修改时间距离事件日期接近，有线性关联，说明可能被篡改或者其他。2 新增文件分析例如要查找24小时内被修改的JSP文件： find ./ -mtime 0 -name *.jsp（最后一次修改发生在距离当前时间n24小时至(n+1)24 小时）查找72小时内新增的文件find / -ctime -2PS：-ctime内容未改变权限改变时候也可以查出根据确定时间去反推变更的文件ls -al /tmp | grep Feb 273特殊权限的文件查找777的权限的文件 find / *.jsp -perm 47774隐藏的文件以 .开头的具有隐藏属性的文件后门排查

7、除以上文件、进程、系统分析外，推荐工具： chkrootkit rkhunter（www.chkrootkit.org ）1 chkrootkit(迭代更新了20年)主要功能：1.检测是否被植入后门、木马、rootkit2.检测系统命令是否正常3.检测登录日志4.详细参考README2 rkhunter1.系统命令（Binary）检测，包括Md5 校验2.Rootkit检测3.本机敏感目录、系统配置、服务及套间异常检测4.三方应用版本检测3 RPM check检查系统完整性也可以通过rpm自带的-Va来校验检查所有的rpm软件包,有哪些被篡改了,防止rpm也被替换,上传一个安全干净稳定版本r

8、pm二进制到服务器上进行检查./rpm -Va rpm.log如果一切均校验正常将不会产生任何输出。如果有不一致的地方，就会显示出来。输出格式是8位长字符串,c 用以指配置文件, 接着是文件名. 8位字符的每一个用以表示文件与RPM数据库中一种属性的比较结果。. (点) 表示测试通过。.下面的字符表示对RPM软件包进行的某种测试失败：5 MD5 校验码S 文件尺寸L 符号连接T 文件修改日期D 设备U 用户G 用户组M 模式e (包括权限和文件类型)如下图可知ps, pstree, netstat, sshd等等系统关键进程被篡改了Webshell 查找Webshell的排查可以通过文件、

10、code1.Webshell的排查可以通过2.Github上存在各种版本的webshell查杀脚本，当然都有自己的特点，可使用河马shell查杀（）综上所述，通过chkrootkit 、rkhunter、RPM check、Webshell Check 等手段得出以下应对措施：1.根据进程、连接等信息关联的程序，查看木马活动信息。2.假如系统的命令（例如netstat ls 等）被替换，为了进一步排查，需要下载一新的或者从其他未感染的主机拷贝新的命令。3.发现可疑可执行的木马文件，不要急于删除，先打包备份一份。4.发现可疑的文本木马文件，使用文本工具对其内容进行分析，包括回连IP地址、加密方式

11、、关键字（以便扩大整个目录的文件特征提取）等。日志分析日志文件/var/log/message 包括整体系统信息/var/log/auth.log 包含系统授权信息，包括用户登录和使用的权限机制等/var/log/userlog 记录所有等级用户信息的日志。/var/log/cron 记录crontab命令是否被正确的执行/var/log/xferlog(vsftpd.log)记录Linux FTP日志/var/log/lastlog 记录登录的用户，可以使用命令lastlog查看/var/log/secure 记录大多数应用输入的账号与密码，登录成功与否var/log/wtmp 记录登录系统

12、成功的账户信息，等同于命令lastvar/log/faillog 记录登录系统不成功的账号信息，一般会被黑客删除1.日志查看分析，grep,sed,sort,awk综合运用2.基于时间的日志管理：/var/log/wtmp/var/run/utmp/var/log/lastlog(lastlog)/var/log/btmp(lastb)3.登录日志可以关注Accepted、Failed password 、invalid特殊关键字4.登录相关命令5.lastlog 记录最近几次成功登录的事件和最后一次不成功的登录6.who 命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户

13、名、终端类型、登录日期及远程主机7.w 命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息8.users 用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名把显示相同的次数9.last 命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户10.finger 命令用来查找并显示用户信息，系统管理员通过使用该命令可以知道某个时候到底有多少用户在使用这台Linux主机。定位有多少IP在爆破主机的root帐号grep Failed password for root /var/log/auth.log | awk pr

邮箱/手机：
温馨提示：	快捷下载时，用户名和密码都是您填写的邮箱或者手机号，方便查询和重复下载（系统自动生成）。如填写123，账号就是123，密码也是123。
特别说明：	请自助下载，系统不会自动发送文件的哦；如果您已付费，想二次下载，请登录后访问：我的下载记录
支付方式：
验证码：	换一换

账号：
密码：
验证码：	换一换
当日自动登录忘记密码？