按关键词阅读: 操作系统 PHP Linux
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
【Linux|应急响应入门之Linux分析排查】
文章图片
文章图片
前言:当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时 , 急需第一时间进行处理 , 使企业的网络信息系统在最短时间内恢复正常工作 , 进一步查找入侵来源 , 还原入侵事故过程 , 同时给出解决方案与防范措施 , 为企业挽回或减少经济损失 。
针对常见的攻击事件 , 结合工作中应急响应事件分析和解决的方法 , 总结了一些 Linux 服务器入侵排查的思路 。
01文件分析-敏感文件信息在linux系统下一切都是文件 , 其中/tmp是一个特别的临时目录文件 。 每个用户都可以对它进行读写操作 。 因此一个普通用户可以对/tmp目录执行读写操作 。
查看敏感目录文件 , 如 tmp目录、可执行程序目录/usr/bin, /usr/sbin等
1.使用la -alt / 查找tmp目录
2.使用ls —help 查看帮助信息
【一>所有资源关注我 , 私信回复”资料“获取<一】
1、200份很多已经买不到的绝版电子书
2、30G安全大厂内部的视频资料
3、100份src文档
4、常见安全面试题
5、ctf大赛经典题目解析
6、全套工具包
7、应急响应笔记
3.ls的常用用法:
ls 用来显示目录列表
-a 显示所有档案及目录
-l 以长格式显示目录下的内容列表
-t 用文件和目录的更改时间排序
4.进入tmp目录 , 查找最近新添加的可疑文件 。
02文件分分析-敏感文件信息查看开机启动项内容/etc/init.d/ , 恶意代码很有可能设置在开机启动的位置 。
查看指定目录下文件时间顺序的排序:ls -alt | head -n 10
查看文件时间属性: stat 文件名
使用ls -alh /etc/init.d // 查看开机启动项
进入开机启动项目录 , 对其进行筛选 。
针对可以文件可以使用**stat **进行创建修改时间、访问时间的详细查看 , 若修改时间距离时间日期接近 , 有线性关联 , 说明可以被篡改 。
如:stat apache2 查看文件详细信息 。
03文件分析-敏感文件信息主要针对新增文件分析:
查找24h内被修改的文件
find ./ -mtime 0 -name “*.php”
查找72h内新增的文件
find ./ -ctime -2 -name “‘*.php”
权限查找 , 在linux系统中 , 如果具有777权限 , 那么文件就很可疑 。
find ./ -iname “*.php” -perm 777 其中 -iname忽略大小写 , -perm用于设定筛选文件权限
find ./ -ctime -2 -name “‘*.txt” //查找72h内新增的txt文件 。
稿源:(未知)
【傻大方】网址:/c/112EK6402021.html
标题:Linux|应急响应入门之Linux分析排查