HW防守 | Linux应急响应基础

Posted Timeline Sec

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了HW防守 | Linux应急响应基础相关的知识,希望对你有一定的参考价值。


0x00

引言


简单说一下,我们为什么会推出关于HW防守的文章,目前关于该行动,会发现越来越多的厂商需求该行动的人员具备分析溯源的能力了。


其中原因一是由于该行动规则的需求,溯源能力可以很好的进行攻击队画像描述,追踪到更多的信息线索,从而给防守方增加更多的该行动的分数。


二是任何产品目前都是需要人来驱动的,都有其局限性,比如日志采集的灵活度及完整性等,我们主观的收集一些信息,可以更好的辅助产品,也可以兼顾不同种类安全产品的一些边界问题。


目前已经推出windows基础篇及此篇linux基础篇试试水,方便大家进行该行动的时候查阅知识点进行基础溯源,同时也欢迎大家反馈想法与意见,如果后续效果可以的话,我们会推出一些真实脱敏的溯源加分案例进行交流。


0x01

技能树


  • Linux常用命令

  • 常见日志的位置以及分析方法

  • 熟悉常规黑客的攻击手法

  • 常规安全事件的处置思路


    0x02

    linux 常用命令



    查找与文本操作

    1、find

    根目录下所有.jsp后缀文件
    find / -name *.jsp

    最近3天修改过的文件
      
        
        
      
    find -type f -mtime -3

    最近3天创建的文件
      
        
        
      
    find -type f -ctime -3

    2、grep、strings、more、head、tail

    过滤出不带有某个关键词的行并输出行号
      
        
        
      
    grep -nv 'root' /etc/passwd

    查看根目录下 含有root信息的文件,并标注行号
      
        
        
      
    grep -nr root /

    查看根目录下后缀为.jsp .jspx文件,并从大到小排列
      
        
        
      
    grep -nr -v "404" ./ | grep -E ".jsp | .jspx" | more

    显示文件前十行
      
        
        
      
    head /etc/passwd

    实时展示文件内容
      
        
        
      
    tail -f 文件名

    3、awk、sort、uniq

    awk的F参数是指定分隔符,print $1意思是打印第一列,sort命令是用来排序的,uniq命令是用来把相邻的重复数据聚合到一起,加个c参数意思就是把重复次数统计出来,为什么先要用sort聚合一次呢,就是因为uniq命令只会聚合相邻的重复数据,最后那个sort命令刚才说了是用于排序的,他的n参数是以数字排序,r参数是倒叙排序
      
        
        
      
    awk -F " " '{print $1}' access.log| sort|uniq -c|sort -nr

    案例:
    我们以空格为分界线 ($1为第一行)对access.log日志进行分析,筛查提取访问IP 从大到小排序,并提示访问次数。


    系统状态命令


    1、lsof

    查看某个用户启动了什么进程
      
        
        
      
    lsof -u root

    某个端口是哪个进程打开的
      
        
        
      
    lsof -i:8080

    2、last、lastb、lastlog

    登录失败记录:/var/log/btmp  
      
        
        
      
    lastb

    最后一次登录:/var/log/lastlog  
      
        
        
      
    lastlog

    登录成功记录: /var/log/wtmp    
      
        
        
      
    last

    3、crontab

    查看计划任务是否有恶意脚本或者恶意命令
      
        
        
      
    crontab -l


    4、netstat

    a参数是列出所有连接,n是不要解析机器名,p列出进程名
      
        
        
      
    netstat -anp

    5、ps

    查看进程信息
      
        
        
      
    ps -ef ps -aux

    6、top

    查看进程cpu占比(动态任务,可实时查看最高cpu占有率)
      
        
        
      
    top

    7、stat

    查看某个文件是否被修改过
      
        
        
      
    stat

    8、last和lastb(对应日志wtmp/btmp)

    last查看成功登陆的IP(用于查看登陆成功信息)

    登陆用户---连接方式---时间

    HW防守 | Linux应急响应基础

    lastb查看连接失败的IP(可用于查看爆破信息)

    登陆用户---登陆方式---登陆IP---时间

    HW防守 | Linux应急响应基础

    0x03

    日志分析



    1、安全日志 /var/log/secure
    作用:安全日志secure包含验证和授权方面信息
    分析:是否有IP爆破成功

    2、用户信息 /etc/passwd
    内容含义:注册名、口令、用户标识号、组标识号、用户名、用户主目录、命令解释程序  
    分析:是否存在攻击者创建的恶意用户

    3、命令执行记录 ~/.bash_history
    作用:命令执行记录 ~/.bash_history
    分析:是否有账户执行过恶意操作系统命令

    4、root邮箱 /var/spool/mail/root
    作用:root邮箱 /var/spool/mail/root
    分析:root邮箱的一个文件,在该文件中包含大量信息,当日志被删除可查询本文件

    5、中间件日志(Web日志access_log)    
      
        
        
      
    nginx、apache、tomcat、jboss、weblogic、websphere

    作用:记录访问信息
    分析:请求次数过大,访问敏感路径的IP
    位置:/var/log下 access.log文件(apache默认位置)
    位置:/var/log/nginx下 access名称日志(nginx日志位置)
    位置:tomcat、weblogic等日志均存放在安装路径下logs文件下
    访问日志结构:访问IP---时间---请求方式---请求路径---请求协议----请求状态---字节数

    HW防守 | Linux应急响应基础

    6.登陆日志(可直接使用命令调取该信息,对应命令last/lastb)
    位置:/var/log/wtmp #成功连接的IP信息
    位置:/var/log/btmp #连接失败的IP信息

    7.cron(定制任务日志)日志
    位置:/var/log/cron
    作用:查看历史计划任务(对该文件进行分析调取恶意病毒执行的计划任务,获取准确时间)

    HW防守 | Linux应急响应基础

    8、history日志
    位置:~/.bash_history
    作用:操作命令记录,可筛查攻击者执行命令信息

    HW防守 | Linux应急响应基础

    9、其他日志
    redis、sql server、mysql、oracle等
    作用:记录访问信息
    分析:敏感操作

    web日志分析思路:


    HW防守 | Linux应急响应基础

    寻找Webshell的方法:

    1、文件内容中的恶意函数
      php:eval(、system(、assert(
      JSP:getRunTime(、 FileOutputStream(
      ASP:eval(、execute(、 ExecuteGlobal(
    2、Web日志中的webshell特征
      Darkblade:goaction=login
      JspSpy:o=login
      PhpSpy:action=phpinfo
      Regeorg:cmd=connect
      Other:cmd=
    3、贴合Web业务中的url来分析Web日志
    4、每天新增的动态脚本文件
    5、低频访问的脚本文件


    本篇完
    欢迎投稿HW防守相关文章!



    关注我们看更多HW相关文章
    Timeline Sec 团队
    安全路上,与你并肩前行




    以上是关于HW防守 | Linux应急响应基础的主要内容,如果未能解决你的问题,请参考以下文章

    蓝队面试题整理(hw防守方面试题整理)

    Linux排查和防守

    2021HW参考 | Linux安全应急--排查思路及命令

    记一些linux安全应急排查思路和命令

    应急响应-Linux基础

    应急响应