没有合适的资源?快使用搜索试试~ 我知道了~
linux应急响应及实战演练
资源推荐
资源详情
资源评论
Linux 应急响应流程及实战演练
当 企 业 发 生 黑 客 入 侵 、 系 统 崩 溃 或 其 它 影 响 业 务 正 常 运 行 的 安 全 事
件 时 , 急 需 第 一 时 间 进 行 处 理 , 使 企 业 的 网 络 信 息 系 统 在 最 短 时 间
内 恢 复 正 常 工 作 , 进 一 步 查 找 入 侵 来 源 , 还 原 入 侵 事 故 过 程 , 同 时
给 出 解 决 方 案 与 防 范 措 施 , 为 企 业 挽 回 或 减 少 经 济 损 失 。
针 对 常 见 的 攻 击 事 件 ,结 合 工 作 中 应 急 响 应 事 件 分 析 和 解 决 的 方 法 ,
总 结 了 一 些 Linux 服 务 器 入 侵 排 查 的 思 路 。
0x01 入 侵 排 查 思 路
一 、 账 号 安 全
基 本 使 用 :
1、 用 户 信 息 文 件 /etc/passwd
root : x \ : 0 : 0 : root : / r o o t : / bin/ b a s h
acc o u n t : p a ssw o r d : U I D : GID : G E C O S:d i r e c t o r y : she l l
用 户 名 : 密 码 : 用 户 ID: 组 ID: 用 户 说 明 : 家 目 录 : 登 陆 之 后 shell
注 意 : 无 密 码 只 允 许 本 机 登 陆 , 远 程 不 允 许 登 陆
2、 影 子 文 件 /etc/shadow
root : $ 6 $ o G s 1Pq h L 2 p 3 Z e trE $ X 7 o 7 b z oou H Q V S E m Sg s Y N 5 U D 4.k M H x 6 q g b Tq w
NV C 5 o O A o uXv c j Q S t . F t7ql 1 W p k o p Y0U V 9 a j B w Ut 1 D p Y x T CV v I / : 1 6 8 0 9 :0: 9 9 9
99: 7 : : :
用 户 名 : 加 密 密 码 : 密 码 最 后 一 次 修 改 日 期 : 两 次 密 码 的 修 改 时 间 间 隔 :
密 码 有 效 期 : 密 码 修 改 到 期 到 的 警 告 天 数 : 密 码 过 期 之 后 的 宽 限 天 数 : 账
号 失 效 时 间 : 保 留
3、 几 个 常 用 命 令 :
who 查 看 当 前 登 录 用 户 ( tty 本 地 登 陆 pts 远 程 登 录 )
w 查 看 系 统 信 息 , 想 知 道 某 一 时 刻 用 户 的 行 为
uptime 查 看 登 陆 多 久 、 多 少 用 户 , 负 载
入 侵 排 查 :
1、 查 询 特 权 用 户 (uid 为 0)
[roo t @ l o c a lhos t ~]# awk -F: '$3= = 0 { p r i n t $ 1}' / e t c/p a s s w d
2
、 查 询 可 以 远 程 登 录 的 帐 号 信 息
[roo t @ l o c a lhos t ~]# a w k ' / $ 1 | $ 6 / {pr i n t $1 } ' /etc / s h a d o w
3 、 除 ro o t 帐 号 外 , 其 他 帐 号 是 否 存 在 sudo 权 限 。 如 非 管 理 需 要 , 普
通 帐 号 应 删 除 sudo 权 限
[roo t @ l o c a lhos t ~]# m o r e / e t c/su d o e r s | g r ep - v "^# | ^ $ " | g r e p " A L L =(A L L ) "
4、 禁 用 或 删 除 多 余 及 可 疑 的 帐 号
usermod -L user 禁 用 帐 号 , 帐 号 无 法 登 录 ,
/etc/sh a d o w
第 二 栏
为
!
开 头
userdel user 删 除 user 用 户
userdel -r user 将 删 除 user 用 户 , 并 且 将 /home 目 录 下 的 user
目 录 一 并 删 除
二 、 历 史 命 令
基 本 使 用 :
通 过 .bash_history 查 看 帐 号 执 行 过 的 系 统 命 令
1、 r o o t 的 历 史 命 令
hist r o y
2
、打 开
/ho m e
各 帐 号 目 录 下 的 .bash_history,查 看 普 通 帐 号 的 历
史 命 令
为 历 史 的 命 令 增 加 登 录 的 IP 地 址 、 执 行 命 令 时 间 等 信 息 :
1) 保 存 1 万 条 命 令
sed - i ' s / ^ H I S TS I Z E = 1 0 00/H I S T S I Z E= 1 0 0 0 0 / g ' / e t c / prof i l e
2) 在 /etc/profile 的 文 件 尾 部 添 加 如 下 行 数 配 置 信 息 :
######jiagu history xianshi#########
USER_IP=who-uam i 2>/dev/null | awk'{print
$NF}'| sed-e's/[()]//g'
if[ "$USER_IP"=""]
then
USER_IP=hostname
fi
exportHISTTIMEFORMAT="%F %T $USER_IPwhoami "
shopt-shistappend
exportPROMPT_COMMAND="history -a"
######### jiagu history xianshi ##########
3) source /etc/profile 让 配 置 生 效
生 成 效 果 :
1 2018-07-10 19:45:39 192.168.204.1 root source /etc/profile
3
、 历 史 操 作 命 令 的 清 除 : history -c
但 此 命 令 并 不 会 清 除 保 存 在 文 件 中 的 记 录 , 因 此 需 要 手 动 删
除 .bash_profile 文 件 中 的 记 录 。
入 侵 排 查 :
进 入 用 户 目 录 下
:
cat . b a sh_h i s t o r y > > h isto r y . t x t
三 、 端 口
使 用 netstat 网 络 连 接 命 令 , 分 析 可 疑 端 口 、
IP
、
PID
net s t a t -a n t l p | m o re
查 看 下 p i d 所 对 应 的 进 程 文 件 路 径 ,
运 行 ls -l /proc/$PID/exe 或 file /proc/$PID/exe(
$PID
为 对 应 的
pid
号 )
四 、 进 程
使 用 p s 命 令 , 分 析 进 程
ps a u x | g r e p pid
五 、 开 机 启 动 项
基 本 使 用 :
系 统 运 行 级 别 示 意 图 : 0 sh u tdown 6 reboot
查 看 运 行 级 别 命 令
runl e v e l
系 统 默 认 允 许 级 别
vi /et c / i n i t t a b
id= 3
:
init d e f a u l t
系 统 开 机 后 直 接 进 入 哪 个 运 行 级 别
开 机 启 动 配 置 文 件
/et c / r c . l o c al
/et c / r c . d / r c [0~ 6 ] . d
例 子 : 当 我 们 需 要 开 机 启 动 自 己 的 脚 本 时 , 只 需 要 将 可 执 行 脚 本 丢 在
/etc/init.d 目 录 下 ,然 后 在 /etc/rc.d/rc*.d 中 建 立 软 链 接 即
可
root @ l o c a l hos t ~ ] # l n - s /etc / i n i t . d / s shd / e t c / rc.d / r c 3 . d / S 100s s h
此 处 sshd 是 具 体 服 务 的 脚 本 文 件 , S100ssh 是 其 软 链 接 ,
S
开 头 代
表 加 载 时 自 启 动 ;如 果 是
K
开 头 的 脚 本 文 件 ,代 表 运 行 级 别 加 载 时 需 要 关
闭 的 。
入 侵 排 查 :
启 动 项 文 件 :
mo r e / e t c/rc . l o c a l
/et c / r c . d / r c [0~ 6 ] . d
ls - l / e t c / r c . d /rc 3 . d /
六 、 定 时 任 务
基 本 使 用
1、 利 用 cr o n t a b 创 建 计 划 任 务
crontab -l 列 出 某 个 用 户 c r o n 服 务 的 详 细 内 容
剩余28页未读,继续阅读
资源评论
jc152
- 粉丝: 0
- 资源: 2
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功