没有合适的资源?快使用搜索试试~ 我知道了~
应急响应技巧(1).pdf
资源推荐
资源详情
资源评论
1
1 linux 应急
1.1 系统检查
1、端口检查
主要用于排查服务器开了哪些端口,并且和哪些 IP 建立连接。
查看所有 TCP 链接
netstat -tnlpa
查看 UDP 链接
netstat -unlpa
也用于查看端口连接,但可以查看到发起的半连接,比如外发 DOS 攻击
lsof -i:22 -PnR
罗列 TCP/UDP 信息
lsof -i tcp/udp
查看该 PID 进程对应信息,比如加载了哪些文件
lsof -p PID
2、关键文件检查
DNS 配置文件,以及主机与 IP 静态解析
/etc/resolv.conf
2
HOSTS 文件,域名和 IP 的绑定
/etc/hosts
下面两个文件,主要用于免密登录,使用以下命令可生成一对公私钥,上传私
钥至目标,则可实现免密登录。
ssh-keygen -t rsa -P ''
公钥文件检查
/root/.ssh/*.pub
私钥文件检查
/root,ssh/id_rsa
3、服务检查
centos7 及 ubuntu,通过以下命令可检查哪些服务还运行着
systemctl | grep -E "\.service.*running"
只显示服务名
systemctl | grep -E "\.service.*running" | awk -F. '{ print
$1 }'
centos6 可通过以下命令查看服务情况
chkconfig --list | grep on
service --status-all
4、启动项检查
定时任务检查,如果不跟-u,则表示查看 root 用户的定时任务。
3
crontab -u user -l
查看异步定时任务
cat /etc/anacrontab
定时任务配置文件保存于/etc/cron*开头路径里,按日、周、月分。
more /etc/cron*
linux 启动时分两大步骤:按级别加载/etc/rc(0-6).d 目录下的启动脚本;然后
加载/etc/rc.local。
/etc/rc(0-6).d 下面实际上是软连接到/etc/init.d/下的文件,S 开头表示
启动脚本,K 开头表示停止脚本
more /etc/rc.local
5、进程检查
查看当前运行的进程,包括可执行文件路径、PID/PPID
ps -ef
ps -aux
显示实时进程状态,加-d 1,可修改刷新时间,默认为 3 秒。
top
4
top 命令后,输入大写的 P,按 CPU 排序
top 命令后,输入大写的 M,按内存排序。
输入 q 退出 top。
只显示一次所有进程信息
top -b -n 1
查看某个进程对应的可执行文件路径,这边其实是一个软连接到真正文件
ls -al /proc/[pid]/exe
6、用户排查
查看已登录用户
w
检查是否有 UID 为 0 的用户,这一步主要是为了攻击者克隆了一个超级用户来
登录。
more /etc/passwd | egrep -v '^#|^(\+:\*)?:0:0:::' | awk -F: '{if($3==0)
print $1}'
攻击者在不知道 root 的密码的前提下,想使用 root 权限登录操作服务器,可
创建用户,修改 passwd 文件里 UID 和 GID 均为 0 即可。
检查 UID 相同的用户,也是防止克隆用户
5
awk -F: '{a[$3]++}END{for(i in a)if(a[i]>1)print i}' /etc/passwd
查看哪些用户是可以登录的,这个主要观察/etc/passwd 文件里用户结尾是否
有/bin/bash 或/bin/sh
,因为该结尾表示可登录,并且以指定环境来执行命令。
cat /etc/passwd | grep -E "/bin/(bash|sh)$" | awk -F: '{print $1}'
查看空口令,查看 shadow,影子文件会保存密码信息,如果第二列为空,则
表示无密码。
gawk -F: '($2=="") {print $1}' /etc/shadow
排查是否允许空口令登录
more /etc/ssh/sshd_config |grep PermitEmptyPassword | grep -v
"#"
排查除 root 用户外,root 组是否还有其他用户,其实就是检查 GID 是否为 0
more /etc/group | grep -v '^#' | gawk -F: '{if ($1!="root"&&$3==0)
print $1}'
7、历史命令检查
应急还是渗透中都很有用
历史下载的脚本,通过 wget/curl 下载的后缀为 sh/pl/py 的脚本。
剩余56页未读,继续阅读
资源评论
zhao-lucy
- 粉丝: 19
- 资源: 446
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功