没有合适的资源?快使用搜索试试~ 我知道了~
资源详情
资源评论
资源推荐
2019/10/11 安全应急响应检查清单 | ASPIRE
https://ixyzero.com/blog/archives/3243.html 2/26
需要的准备:
静态编译的 w/last/lastb/lastlog/ps/top/ss/netstat/lsof/find/rpm 等命令;
一些常见的检查工具/脚本;
操作分类:
Unusual Processes and Services(异常的进程和服务)
Unusual Files(异常的文件)
Unusual Network Usage(异常的网络使用情况)
Unusual Scheduled Tasks(异常的计划任务)
Unusual Accounts(异常的账户)
Unusual Log Entries(异常的日志条目)
Other Unusual Items(其它的异常情况)
Additional Supporting Tools(额外的一些支撑工具)
异常的账户:
异常的进程和服务:
1
2
3
4
5
6
7
8
9
10
11
12
查看 /etc/passwd 中的账户列表,并根据UID进行排序:
# sort -nk3 -t: /etc/passwd | less
常规用户都会在其中,尤其注意那些 UID < 500 的账户。
查看异常的 UID为0 的账户:
# egrep ':0+:' /etc/passwd
On systems that use multiple authentication methods:
# getent passwd | egrep ':0+:'
查看系统上的「孤儿文件」,这些文件可能是由攻击者创建的临时账户产生的:
# find / -nouser -print
2019/10/11 安全应急响应检查清单 | ASPIRE
https://ixyzero.com/blog/archives/3243.html 3/26
异常的文件:
用命令 rpm -Va 进行packages校验:
这条命令会对比当前文件和RPM数据中记录的文件的大小、MD5值、权限、类型、属主、属组、修改时间等信息:
对于在 /sbin, /bin, /usr/sbin, 和 /usr/bin 等目录中的文件要尤其注意。在部分Linux发行版中,这个分析可以用内建
的 check-packages 脚本来完成。
查找那些文件链接数异常(比如链接数为0)的运行中进程,攻击者可能将一些数据隐藏在其中,或是通过这类文件启
动后门:
查找异常的SUID(root)文件:
查看最近都有哪些文件发生了变动:
1
2
3
4
# top
# ps -aux
# lsof -p $pid
# chkconfig --list
1 # rpm -Va | sort
1
2
3
4
5
6
7
8
S – File size differs(文件大小发生变化)
M – Mode differs(permissions)(文件权限/模式发生变化)
5 – MD5 sum differs(文件MD5值发生变化)
D – Device number mismatch(设备名不匹配)
L – readLink path mismatch(readLink路径不匹配)
U – user ownership differs(用户所有者不同)
G – group ownership differs(属组所有者不同)
T – modification time differs(文件修改时间发生变化)
1 # lsof +L1
1 # find / -uid 0 -perm -4000 -print
2019/10/11 安全应急响应检查清单 | ASPIRE
https://ixyzero.com/blog/archives/3243.html 4/26
查找一些文件名中有「空格」、「点」的伪装文件:
查找一些异常的大文件(>10MB):
异常的网络使用情况:
查看网络是否处于混杂模式:
查看网络端口的使用情况:
查看ARP的情况:
查看DNS和hosts设置:
1
2
# ls -alt /
# find /-mtime-2d-print0 | xargs -0 ls -lt
1
2
3
# find / -name " " -print
# find / -name ".. " -print
# find / -name ". " -print
1 # find / -size +10000k -print
1 # ip link | grep PROMISC
1
2
3
4
5
6
# 查找异常端口监听情况
# netstat -nap
# ss -pln
# 查看是哪些进程占用了哪个端口
# lsof -i
1 # arp -a
1
2
# vim /etc/resolv.conf
# vim /etc/hosts
2019/10/11 安全应急响应检查清单 | ASPIRE
https://ixyzero.com/blog/archives/3243.html 5/26
异常的计划任务:
查找异常的root用户的计划任务:
查找异常的系统级别的计划任务:
查找异常的开机启动项:
异常的日志条目:
其它的异常情况:
额外的一些支撑工具:
Chkrootkit
1 # crontab -u root -l
1
2
# cat /etc/crontab
# ls -lt /etc/cron.*
1 # ls -lt /etc/rc*.d
1
2
3
4
5
6
7
# w
# last
# lastb
# lastlog
# ls -lt /var/log/
# vim /var/log/messages
# vim /var/log/secure
1
2
3
4
# uptime
# free -m
# df -h
# df -hi
剩余25页未读,继续阅读
m0_38033698
- 粉丝: 0
- 资源: 2
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0