网络安全应急响应Linux篇

这篇笔记参考了奇安信安服团队所写的书——《网络安全应急响应技术实战指南》

算是自己看书和学习的一个总结和整理。这里是对Linux的小总结

【正在更新中,其实大部分需要掌握的基础部分写的差不多了，虽然坑没填完但也够看了】

系统排查

Linux系统

cpu信息

【lscpu】命令可查看cpu相关信息，包括型号、主频、内核等

操作系统信息

uname -a 

cat /proc/version

模块信息

lsmod

用户信息

查看系统所有用户信息

cat /etc/passwd  

分析超级权限账户

awk -F: '{if($3==0)print $1}' /etc/passwd

查看可登录的账户

cat /etc/passwd | grep '/bin/bash'

查看用户错误的登录信息

lastb

查看所有用户最后的登录信息

lastlog | more

查看用户最近登录信息

last

查看当前用户登录系统情况

who

查看空口令账户

awk -F: 'length($2)==0 {print $1}' /etc/shadow

启动项

任务计划

crontab -l
crontab -u root -l

这条显示的命令为腾讯云的资源监控

进程排查

netstat -antlp | more #查看网络连接

ls -alt /proc/【PID】#查看对应的可执行程序

lsof -p PID #查看该进程打开的文件

kill -9 PID #结束进程

rm -rf filename #删除目标文件

若删除不成功lsattr filename查看是否被加上i属性然后使用chattr -i filename移除i属性，在进行文件的删除

ps -ef | awk '{print}' | sort -n | uniq > 1  #查看隐藏进程123

ls /proc | sort -n | uniq > 2

diff 1 2 #对比

可以用top查看资源占用情况，可针对性的重点排查cpu占用率较高的进程

服务排查

chkconfig --list  #查看系统运行的服务

等级0表示：表示关机

等级1表示：单用户模式

等级2表示：无网络连接的多用户命令行模式

等级3表示：有网络连接的多用户命令行模式

等级4表示：不可用

等级5表示：带图形界面的多用户模式

等级6表示：重新启动

service --status-all  #可查看所有服务的状态

文件痕迹排查

“我不知道怎么形容，但它一直存在”

---