没有合适的资源？快使用搜索试试~ 我知道了~

文库首页安全技术网络安全应急响应技巧(1).pdf

应急响应技巧(1).pdf

网络安全

需积分: 5 0 下载量 98 浏览量 2023-04-23 17:55:55 上传评论收藏 2.66MB PDF 举报

温馨提示

试读

57页

应急响应技巧(1).pdf

资源推荐

资源详情

资源评论

1 linux 应急

1.1 系统检查

1、端口检查

主要用于排查服务器开了哪些端口，并且和哪些 IP 建立连接。

查看所有 TCP 链接

netstat -tnlpa

查看 UDP 链接

netstat -unlpa

也用于查看端口连接，但可以查看到发起的半连接，比如外发 DOS 攻击

lsof -i:22 -PnR

罗列 TCP/UDP 信息

lsof -i tcp/udp

查看该 PID 进程对应信息，比如加载了哪些文件

lsof -p PID

2、关键文件检查

DNS 配置文件，以及主机与 IP 静态解析

/etc/resolv.conf

HOSTS 文件，域名和 IP 的绑定

/etc/hosts

下面两个文件，主要用于免密登录，使用以下命令可生成一对公私钥，上传私

钥至目标，则可实现免密登录。

ssh-keygen -t rsa -P ''

公钥文件检查

/root/.ssh/*.pub

私钥文件检查

/root,ssh/id_rsa

3、服务检查

centos7 及 ubuntu，通过以下命令可检查哪些服务还运行着

systemctl | grep -E "\.service.*running"

只显示服务名

systemctl | grep -E "\.service.*running" | awk -F. '{ print

$1 }'

centos6 可通过以下命令查看服务情况

chkconfig --list | grep on

service --status-all

4、启动项检查

定时任务检查,如果不跟-u，则表示查看 root 用户的定时任务。

crontab -u user -l

查看异步定时任务

cat /etc/anacrontab

定时任务配置文件保存于/etc/cron*开头路径里，按日、周、月分。

more /etc/cron*

linux 启动时分两大步骤：按级别加载/etc/rc(0-6).d 目录下的启动脚本；然后

加载/etc/rc.local。

/etc/rc(0-6).d 下面实际上是软连接到/etc/init.d/下的文件,S 开头表示

启动脚本，K 开头表示停止脚本

more /etc/rc.local

5、进程检查

查看当前运行的进程，包括可执行文件路径、PID/PPID

ps -ef

ps -aux

显示实时进程状态，加-d 1，可修改刷新时间，默认为 3 秒。

top

top 命令后，输入大写的 P，按 CPU 排序

top 命令后，输入大写的 M，按内存排序。

输入 q 退出 top。

只显示一次所有进程信息

top -b -n 1

查看某个进程对应的可执行文件路径，这边其实是一个软连接到真正文件

ls -al /proc/[pid]/exe

6、用户排查

查看已登录用户

检查是否有 UID 为 0 的用户，这一步主要是为了攻击者克隆了一个超级用户来

more /etc/passwd | egrep -v '^#|^(\+:\*)?:0:0:::' | awk -F: '{if($3==0)

print $1}'

攻击者在不知道 root 的密码的前提下，想使用 root 权限登录操作服务器，可

创建用户，修改 passwd 文件里 UID 和 GID 均为 0 即可。

检查 UID 相同的用户，也是防止克隆用户

awk -F: '{a[$3]++}END{for(i in a)if(a[i]>1)print i}' /etc/passwd

查看哪些用户是可以登录的，这个主要观察/etc/passwd 文件里用户结尾是否

有/bin/bash 或/bin/sh

，因为该结尾表示可登录，并且以指定环境来执行命令。

cat /etc/passwd | grep -E "/bin/(bash|sh)$" | awk -F: '{print $1}'

查看空口令，查看 shadow，影子文件会保存密码信息，如果第二列为空，则

表示无密码。

gawk -F: '($2=="") {print $1}' /etc/shadow

排查是否允许空口令登录

more /etc/ssh/sshd_config |grep PermitEmptyPassword | grep -v

"#"

排查除 root 用户外，root 组是否还有其他用户，其实就是检查 GID 是否为 0

more /etc/group | grep -v '^#' | gawk -F: '{if ($1!="root"&&$3==0)

print $1}'

7、历史命令检查

应急还是渗透中都很有用

历史下载的脚本，通过 wget/curl 下载的后缀为 sh/pl/py 的脚本。

剩余56页未读，继续阅读

评论收藏

内容反馈

资源评论

资源反馈

评论星级较低，若资源使用遇到问题可联系上传者，3个工作日内问题未解决可申请退款~

zhao-lucy

粉丝: 19
资源: 446

上传资源快速赚钱

我的内容管理展开

我的资源快来上传第一个资源

我的收益

登录查看自己的收益

我的积分登录查看自己的积分

我的C币登录后查看C币余额

我的收藏

我的下载

下载帮助

前往需求广场，查看用户热搜

应急响应技巧(1).pdf

应急响应实战checklist.pdf

应急响应管理制度.pdf

网络安全应急响应具体实施.pdf

信息安全应急响应服务方案.pdf

服务器故障应急响应方案说明.pdf

网络安全应急响应体系研究.pdf

网络安全应急响应服务方案.pdf

网络安全应急响应全新预案.pdf

信息安全应急响应预案样板.pdf

网络安全事件应急响应管理办法.pdf

信息安全事件与应急响应管理规范.pdf

计算机网络安全隐患与应急响应技术研究.pdf

公司信息系统安全事件应急响应管理办法.pdf

23-网络与信息安全应急响应技术规范与指南.pdf

网络安全应急响应 (2).pdf

应急响应实战笔记.pdf

2020年网络安全应急响应分析报告.pdf

月子服务机构疫情应急预案(含应急响应流程).pdf.pdf

应急响应管理规范.pdf

国际网络安全应急响应体系介绍.pdf

BurpLoaderKeygen.jar.zip

最新版ISO/IEC 27001:2022、ISO 27002:2022中英文合集

Goby红队版-win-x64-2.4.7版本

Chrome Header Editor 插件

ISO SAE 21434-2021 中文版.pdf

OpenVAS GVM 中文翻译补丁

安全认证cisp教材全套

STM32F103C8T6核心板-电路原理图1.PDF

软件工程导论(第六版)课后习题答案1

最新资源