记一些linux安全应急排查思路和命令

Posted 巡安似海

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了记一些linux安全应急排查思路和命令相关的知识,希望对你有一定的参考价值。

都是蓝队一些很常用的应急排查命令


防守排查基本流程

1. 查看日志以及防守设备的日志,看看入侵情况(/在探测(是否有风险)/已经入侵成功) 探测中有风险就直接​ban ip​2. 进来的话看日志判断动了哪些资源 判断目的 提交报告 隔离服务环境 看payload 判断漏洞位置 清理shell 及时修复 及时提交报告
3. 根据入侵者ip 做一些溯源 比如威胁感知平台查查有些入侵者如果使用自己的vps ,看看上面是否有blog服务 有blog就可以进行找
4. 搞进来了可以不立马杀死 投放诱饵文件 尝试反杀入侵者 根据入侵者特征(浏览器 os版本如果有洞就反杀) 尽管反杀不了,只要写成报告 提交 也能拿不少加分

查看系统状态


top命令(常用于挖矿应急响应)

记一些linux安全应急排查思路和命令_网络安全

查看非root运行的进程

ps -U root -u root -N

查看root运行的进程 ps -u root
查看有没有奇怪进程

ps -aef| grep inetd

检测隐藏进程

ps -ef | awk print | sort -n | uniq >1
ls /proc | sort -n | uniq >2

检测系统守护进程

ls /etc/crontab

查看当前登陆
用户命令

who

查看系统信息 想知道某一时刻用户的行为

w

查看当前登陆用户的ip信息

who -m

记一些linux安全应急排查思路和命令_应急响应_02

查看近期用户登陆情况

记一些linux安全应急排查思路和命令_红蓝对抗_03

history 5查看历史命令

查看进程树是否所有异常进程存在一个父进程 判断进程的父子关系

netstat 查看网络状态 列出本机所有连接和接听的接口
netstat -anp
lsof -i udp
lsof -i tcp

文件排查命令

whereis filename
ls -la查看包含隐藏文件的
ls -al 查看文件创建时间

查找最近24小时内修改过的文件

find ./ -mtime 0

tar 命令(tar命令在ctf线下也比较常见,所以我简单总结下)

tar -cvf backup_log.tar ./*.log  打包当前目录所有log文件

然后​tar -xvf backup_log.tar​ 解压
tar -cvf​文件名  然后目录

记一些linux安全应急排查思路和命令_网络安全_04

解压也是 ​tar -xvf​ 文件名

以上是关于记一些linux安全应急排查思路和命令的主要内容,如果未能解决你的问题,请参考以下文章

应急响应入侵排查之第二篇Linux

应急响应之Linux 入侵排查

应急响应之Linux 入侵排查

应急响应排查思路

应急响应——Linux入侵排查

应急响应——Linux入侵排查