HW防守 | Linux应急响应基础
Posted Timeline Sec
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了HW防守 | Linux应急响应基础相关的知识,希望对你有一定的参考价值。
0x00
引言
简单说一下,我们为什么会推出关于HW防守的文章,目前关于该行动,会发现越来越多的厂商需求该行动的人员具备分析溯源的能力了。
其中原因一是由于该行动规则的需求,溯源能力可以很好的进行攻击队画像描述,追踪到更多的信息线索,从而给防守方增加更多的该行动的分数。
二是任何产品目前都是需要人来驱动的,都有其局限性,比如日志采集的灵活度及完整性等,我们主观的收集一些信息,可以更好的辅助产品,也可以兼顾不同种类安全产品的一些边界问题。
目前已经推出windows基础篇及此篇linux基础篇试试水,方便大家进行该行动的时候查阅知识点进行基础溯源,同时也欢迎大家反馈想法与意见,如果后续效果可以的话,我们会推出一些真实脱敏的溯源加分案例进行交流。
0x01
技能树
Linux常用命令
常见日志的位置以及分析方法
熟悉常规黑客的攻击手法
常规安全事件的处置思路
0x02
linux 常用命令
find / -name *.jsp
find -type f -mtime -3
find -type f -ctime -3
grep -nv 'root' /etc/passwd
grep -nr root /
grep -nr -v "404" ./ | grep -E ".jsp | .jspx" | more
head /etc/passwd
tail -f 文件名
awk -F " " '{print $1}' access.log| sort|uniq -c|sort -nr
系统状态命令
lsof -u root
lsof -i:8080
lastb
lastlog
last
crontab -l
netstat -anp
ps -ef
ps -aux
top
stat
0x03
日志分析
nginx、apache、tomcat、jboss、weblogic、websphere
web日志分析思路:
php:eval(、system(、assert( JSP:getRunTime(、 FileOutputStream( ASP:eval(、execute(、 ExecuteGlobal(
Darkblade:goaction=login JspSpy:o=login PhpSpy:action=phpinfo Regeorg:cmd=connect Other:cmd=
欢迎投稿HW防守相关文章!
以上是关于HW防守 | Linux应急响应基础的主要内容,如果未能解决你的问题,请参考以下文章