type
status
date
slug
tags
category
password
summary
icon

账号安全

  • 查看uid为0的用户
      • awk -F : '$3==0 {print $1}' /etc/passwd
  • 查询有密码可以远程登陆的账号信息
      • awk '/\$1|\$6/{print $1}' /etc/shadow-
  • 除root用户外,谁还有sudo权限
      • visudo

检查历史命令

  • 在账户家目录中检查该账户执行过的命令
  • bash history
  • 保存10000条历史记录 sed -is/AHISTSIZE=1000/HISTSIZE=10000/g’ /etc/profile
  • 历史操作命令的清除 history -c 但此命令并不会清除保存在文件中的记录,因此需要手动删除.bash_profile文件中的记录 cat /root/.mysql history >> /tmp/root_sql history.txt

检查端口

  • netstat -nltup
  • ls -al /proc/$PID/exe#查看pid对应的文件进程路径
  • ps aux|grep $pid # 检查异常进程

排查进程top

  • 查子进程 ps auxf
  • 启动时间排序 ps aux --sort=+start
  • CPU占用排席 ps aux --sort=+%CPU
  • 内存占用排序 ps aux --sort=+rss

lsof

ldd

ldd命令用于打印程序或者库文件所依赖的共享库列表

检查启动脚本

  • 检查目录/etc/rc.d/rc0~6.d目录中的脚本
  • 检查目录/usr/lib/systemd/system/

查看计划任务

检查开启自启动任务

列出哪些服务随开机启动
systemctl list-unit-files grep enabled chkconfig --list

查看可疑文件

  • 查找root最近20天修改过的文件。find /etc -iname "*" -ctime +20 -type f
  • 查找有粘滞位的文件 find / -perm u=s
  • 查找可执行的文件 find / perm a=x-type f
  • 查找某个时间段内的文件,例如查找2020-04-01到2020-04-13号之间的文件,使用如下命令即可:
      • find /log/ -name 'test.log*' -newermt '2020-04-01' ! -newermt '2020-04-13'
  • 找出 3 天“以前”被改动过的文件(> 72 小时)
      • find /var/log/ -mtime +3 -type f -print
  • 找出前 3 天內被改动过的文件(0 ~ 72 小时內)
      • find /var/log/ -mtime -3 -type f -print
  • 找出前第 3 天被改动过的文件(72 ~ 96 小时)
      • find /var/log/ -mtime 3 -type f -print
      find /var/log/ -mtime +2 -mtime -4 -type f -print

检查日志

Linux日志类型大致可以分为三类,内核和系统日志、用户日志、应用日志。 内核和系统日志:这种日志主要由syslog管理、根据其配置文件/etc/syslog.conf中的设置决定内核消息和各种系统程序信 息记录到哪个位置。 用户日志: 用户日志主要记录系统用户登录或者退出的信息,包括用户名账号、登录时间、源IP等 应用日志: 记录应用程序运行过程中的各种事件信息。
重要日志文件
/var/log/wtmp 登录进入,退出,数据交换、关机和重启纪录,即last /var/log/lastlog 文件记录用户最后登录的信息,即lastlog /var/log/secure 记录登入系统存取数据的文件,如 pop3/ssh/telnet/ftp /var/log/cron 与定时任务相关的日志信息 /var/log/message 系统启动后的信息和错误日志 /var/log/apache2/access.log apache access log /var/log/message 包括整体系统信息 /var/log/auth.log 包含系统授权信息,包括用户登录和使用的权限机制等 /var/log/userlog 记录所有等级用户信息的日志 /var/log/cron 记录crontab命令是否被正确的执行 /var/log/xferlog(vsftpd.log)记录Linux FTP日志 /var/log/lastlog 记录登录的用户,可以使用命令lastlog查看 /var/log/secure 记录大多数应用输入的账号与密码,登录成功与否 var/log/faillog   记录登录系统不成功的账号信息
查看用户登录历史记录: last 查看用户登录失败记录: lastb 查看用户最近一次登录信息: lastlog 已经登录的信息:users、w、who
对/var/log/secure日志进行分析

命令被篡改?

  • rpm -Va 或者 dpkg —verify
      • 命令详解
      通常 SM5T 一起出现的时候就要注意了

病毒查杀

chkrootkit 网址http://www.chkrootkit.org/download/ rkhunter 网址:https://sourceforge.net/projects/rkhunter/ 使用方法: tar -zxvf chkrootkit.tar.gz cd chkrootkit-0.55 make sense ./chkrootkit 使用方法 tar -zxvf rkhunter-1.4.6.tar.gz cd rkhunter-1.4.6 ./installer.sh --install rkhunter -c

常用应急工具

  1. busybox # 集成了部分常用命令,防止黑客更改命令。
      2. 简单使用:./busybox ps -ef
      官方网站:https://www.busybox.net/
  1. unhide # 款检测发现那些借助rootkit及其它技术隐藏的进程和TCP/UDP端口的命令行工具
      2. 可使用 yum 或者 apt 直接安装
      unhide proc
  1. 检测 rookit
    1. chkrootkit chkrootkit -- locally checks for signs of a rootkit
    2. rkhunter:yum 或者 apt 安装就行,可以检测命令是否被篡改
  1. clamav
      2. 用于检测木马、病毒、恶意软件和其他恶意威胁的开源防病毒引擎.
      官网:chkrootkit -- locally checks for signs of a rootkit (clamav.net)
  1. Webshell
    1. 河马:SHELLPUB.COM 专注查杀,永久免费
    2. D 盾:
    3. 内存马:https://github.com/4ra1n/shell-analyzer

      4. 发生安全事件常用方法

       
边界入口打点常用方法什么是等保测评?
Loading...