system status状态字段说明 systemctl status pid

Linux应急响应

入侵排查流程

账号安全

基本使用

/etc/passwd

用户信息文件

对应关系:

1. 用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell

注:无密码只允许本机登陆，远程不允许登陆

/etc/shadow

影子文件

对应关系:

1. 用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留

who

查看当前登录用户

注：tty本地登陆、pts远程登录

w

查看系统信息

uptime

查看登陆多久、多少用户，负载

入侵排查

1、查询特权用户特权用户(uid为0)

1. [root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd

 

2、查询可以远程登录的帐号信息

1. [root@localhost ~]# awk '/\$1|\$6/{print $1}' /etc/shadow

 

3、其他帐号是否存在sudo权限。

注：如非管理需要，除root帐号外，普通帐号应删除sudo权限

1. [root@localhost ~]# more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

4、禁用或删除多余及可疑的帐号

1. usermod -L user 禁用帐号，帐号无法登录，/etc/shadow第二栏为!开头 
2. 
3. userdel user 删除user用户 
4. 
5. userdel -r user 将删除user用户，并且将/home目录下的user目录一并删除

历史命令

基本使用：

1.查看帐号执行过的系统命令

通过.bash_history

1. root的历史命令:histroy
2. 
   
3. 打开/home各帐号目录下的.bash_history，查看普通帐号的历史命令

 

2.增加设置

历史的命令增加登录的IP地址、执行命令时间等信息：

• 保存1万条命令

1. sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile

• 在/etc/profile的文件尾部添加如下行数配置信息：

1. ####historyUSER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'` if [ "$USER_IP" = "" ] then USER_IP=`hostname` fiexport HISTTIMEFORMAT="%F %T $USER_IP `whoami` " shopt -s histappend export PROMPT_COMMAND="history -a"

• source /etc/profile让配置生效

生成效果：

1. 1 2021-010-22 19:45:39 192.168.1.1 root source /etc/profile

3、历史操作命令的清除 问题

使用命令：history -c

但此命令并不会清除保存在文件中的记录，因此需要手动删除.bash_profile文件中的记录。

入侵排查

进入用户目录下

1. cat /home/用户/.bash_history >> history.txt

可疑端口

使用netstat 网络连接命令，分析可疑端口、IP、PID

1. netstat -antlp | more

查看下pid所对应的进程文件路径， 运行

1. ls -l /proc/$PID/exe或file /proc/$PID/exe

可疑进程

使用ps命令，分析进程

1. ps aux | grep pid

开机启动项

基本使用

系统运行级别示意图：

查看运行级别命令

使用命令：runlevel

系统默认允许级别

1. vi /etc/inittab id=3:initdefault 系统开机后直接进入哪个运行级别

开机启动配置文件

1. /etc/rc.local /etc/rc.d/rc[0~6].d

例子:当我们需要开机启动自己的脚本时，只需要将可执行脚本丢在/etc/init.d目录下，

然后在/etc/rc.d/rc*.d中建立软链接即可

1. root@localhost ~]# ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100ssh对应关系sshd:具体服务的脚本文件S100ssh:软链接，S开头代表加载时自启动,如果是K开头的脚本文件，代表运行级别加载时需要关闭的。

入侵排查

查看启动项文件：

1. more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d/

定时任务

基本使用

crontab

利用crontab创建计划任务

基本命令

1. crontab -l:列出某个用户cron服务的详细内容
2. 
3. Tips:默认编写的crontab文件会保存在:/var/spool/cron/用户名 
4. 例如: /var/spool/cron/root
5. 
6. crontab -r:删除每个用户cront任务(谨慎：删除所有的计划任务)
7. 
8. crontab -e:使用编辑器编辑当前的crontab文件

anacron

利用anacron实现异步定时任务调度

使用案例,每天运行 /home/backup.sh脚本：

1. vi /etc/anacrontab @daily 10 example.daily /bin/bash /home/backup.sh

当机器在 backup.sh 期望被运行时是关机的，anacron会在机器开机十分钟之后运行它，而不用再等待 7天。

入侵排查

重点关注以下目录中是否存在恶意脚本

1. /etc/crontab 
2. 
3. /etc/cron.d/* 
4. 
5. /etc/cron.daily/* 
6. 
7. /etc/cron.hourly/* 
8. 
9. /etc/cron.monthly/* 
10. 
11. /etc/cron.weekly/ 
12. 
13. /etc/anacrontab 
14. 
15. /var/spool/anacron/*

Tips:

1. more /etc/cron.daily/* 查看目录下所有文件

服务

基本使用

服务自启动

• 第一种修改方法：
  问题 chkconfig安装

1. chkconfig [--level 运行级别] [独立服务名] [on|off] chkconfig –level 2345 httpd on 开启自启动 chkconfig httpd on (默认level是2345)

• 第二种修改方法：

1. 修改/etc/re.d/rc.local 文件 加入 /etc/init.d/httpd start

• 第三种修改方法：

使用ntsysv命令管理自启动，可以管理独立服务和xinetd服务

入侵排查

查询已安装的服务：

• RPM包安装的服务

1. chkconfig --list #查看服务自启动状态,可以看到所有的RPM包安装的服务 ps aux | grep crond#查看当前服务 系统在3与5级别下的启动项 中文环境 chkconfig --list | grep "3:启用\|5:启用" 英文环境 chkconfig --list | grep "3:on\|5:on"

• 源码包安装的服务

1. 查看服务安装位置,一般是在/user/local/ service httpd start 搜索/etc/rc.d/init.d/,查看是否存在

系统日志

基本使用

日志默认存放位置：/var/log/

查看日志配置情况：vi /etc/rsyslog.conf

日志文件说明

 

 

日志分析

前言

日志默认存放位置：/var/log/

查看日志配置情况：vi /etc/rsyslog.conf

日志文件对应的说明

 

 

/var/log/secure

1. 1、定位有多少IP在爆破主机的root帐号： grep "Failed password for root" /var/log/secure | awk '{print _=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
2. 2、登录成功的IP有哪些： grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more登录成功的日期、用户名、IP： grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
3. 3、增加一个用户kali日志： Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001 Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001,GID=1001,home=/home/kali,shell=/bin/bash Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali #grep "useradd" /var/log/secure
4. 4、删除用户kali日志： Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali' Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali' Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali' # grep "userdel" /var/log/secure
5. 5、su切换用户:Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0) sudo授权执行: sudo -l Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now

/var/log/yum.log

软件安装升级卸载日志：

1. yum install gcc [root@bogon ~]# more /var/log/yum.log Jul 10 00:18:23 Updated: cpp-4.8.5-28.el7_5.1.x86_64 Jul 10 00:18:24 Updated: libgcc-4.8.5-28.el7_5.1.x86_64 Jul 10 00:18:24 Updated: libgomp-4.8.5-28.el7_5.1.x86_64 Jul 10 00:18:28 Updated: gcc-4.8.5-28.el7_5.1.x86_64 Jul 10 00:18:28 Updated: libgcc-4.8.5-28.el7_5.1.i686

挖矿事件

1.获取异常进程pid

CPU占用

1. top -c -o %CPU

 

CPU占用前5的进程信息

1. ps -eo pid,ppid,%mem,%cpu,cmd --sort=-%cpu | head -n 5

 

内存占用

1. top -c -o %MEM

内存占用前5的进程信息

1. ps -eo pid,ppid,%mem,%cpu,cmd --sort=-%mem | head -n 5

网络占用

安装nethogs

1. apt-get install nethogs

然后以root权限运行nethogs即可

2.寻找恶意文件样本

进程名字或者部分字符串获取pid

1. pidof "name"ps -aux | grep "name"ps -ef | grep "name" | grep -v grep | awk '{print $2}'pgrep -f "name"

pid获取程序的详细信息

1. lsof -p pidpwdx pid #获取该pid的进程启动的时候的目录，并不一定是恶意文件所在的路径，只是启动恶意文件的路径systemctl status pid #获取这个进程的 status信息cat /proc/pid/mapsls -al /proc/pid/exe

pid查看由进程起的线程

1. ps H -T -p pidps -Lf pidtop -H -p pid -H#-H:选项可以显示线程htop#较为全面的展示线程,默认未安装pstree -acU#推荐,全面展示进程与线程间的关系

注：SPID就是线程ID，而CMD栏则显示了线程名称

3.处理异常进程

恶意文件样本采样

1. scp -P 4588 remote@www.xxx.com:/usr/local/a /home/kali

注：

-P：指定SSH端口
从远程服务器将a下载到本地的/home/kali

进程查杀

进程有子进程

1. ps ajfxsystemctl status

进程无子进程

1. kill -9 pid

这样会直接杀死指定进程，但是，由这个进程产生的子进程不会被杀死

杀掉这个进程组

1. kill -9 -pid

守护进程

挖矿病毒为了保障挖矿程序的运行，通常会为挖矿程序设置守护进程，杀死守护进程与杀死普通进程并无区别

线程查杀

很多木马病毒将恶意代码执行做到了线程级别，也就是说附到了现有正常业务的进程中，做一个线程，目前查杀一个进程中的线程风险比较大，极可能会把进程搞崩掉，需要与客户确认好再进行，杀死线程的方法和杀死进程一样

pid查看由进程起的线程

1. ps -T -p pidps -aLf pid

查看全部线程

1. ps -eLFa

4.删除恶意文件

通过进程pid以及/proc/

我们已经定位到了文件的具体位置，接下来就是删除恶意文件
查看文件占用

1. lsof eval.sh

a和i属性导致文件不可删除

a属性文件：只能增加内容，不能修改之前的文件，不能删除文件

i属性文件：内容不能改变，文件不能删除
可以使用 chattr -a和 chattr -i

案例分析

SSH隐蔽登录

1. ssh -T root@192.168.1.1 /usr/bin/bash -i

分析

上面这条命令在日常渗透中，是红队的小伙伴进行登录操作会经常使用

因为这条命令它不分配伪终端的方式而不会被w和lastlog等命令记录

所以在某些时候，如果防守方在上机排查时，仅查看日志发现没有异常登录，却没有注意到是否存在异常网络连接时，就会判断为误报，给攻击者可乘之机

处理

只要连接SSH端口就一定存在记录

可以从

1. lsof -i 22

1. ss -nt

这两条命令结果中发现了连接服务器的恶意IP地址

惯性密码

分析

1. aaRedis63090329

像这个密码，不难猜测密码为前后缀固定格式，中间四位为本机端口号，然后重新组合登录，会有很大的风险

处置

密码复杂化和不可捉摸性

pid查询失败

分析

有些时候，我们无法通过top、ps命令查看进程pid

可能是攻击者

将/proc/pid/进行了隐藏

隐藏方法

1. mkdir .hiddenmount -o bind .hidden /proc/PID

处置

这个时候，我们可以查看挂载信息

1. cat /proc/$$/mountinfo

文件删除

分析

有时候，奇怪的文件名导致文件不可删除

从Windows向 Linux传输的文件或者攻击者恶意制造的文件，很多会有文件名乱码，无法直接通过乱码的文件名进行删除

处置

使用 inode进行删除

查看 inode

1. ls -li xxx.sh

删除文件

1. find ./* -inum inode -deletefind ./ -inum inode -exec rm {} \;find ./* -inum inode -exec rm -i {} \;(会有步确认是否删除)find ./* -inum inode -exec rm -f {} \;(强制删除)find ./* -inum inode |xargs rm -frm `find ./* -inum inode`