0%

网络安全应急响应Linux篇

这篇笔记参考了奇安信安服团队所写的书——《网络安全应急响应技术实战指南》

算是自己看书和学习的一个总结和整理。这里是对Linux的小总结

【正在更新中,其实大部分需要掌握的基础部分写的差不多了,虽然坑没填完但也够看了】

系统排查

Linux系统

cpu信息

【lscpu】命令可查看cpu相关信息,包括型号、主频、内核等

操作系统信息

1
uname -a 

1
cat /proc/version

模块信息

1
lsmod

用户信息

查看系统所有用户信息

1
cat /etc/passwd  

分析超级权限账户

1
awk -F: '{if($3==0)print $1}' /etc/passwd

查看可登录的账户

1
cat /etc/passwd | grep '/bin/bash'

查看用户错误的登录信息

1
lastb

查看所有用户最后的登录信息

1
lastlog | more

查看用户最近登录信息

1
last

查看当前用户登录系统情况

1
who

查看空口令账户

1
awk -F: 'length($2)==0 {print $1}' /etc/shadow

启动项

任务计划

1
2
crontab -l
crontab -u root -l

这条显示的命令为腾讯云的资源监控

进程排查

1
2
3
4
5
netstat -antlp | more #查看网络连接

ls -alt /proc/【PID】#查看对应的可执行程序

lsof -p PID #查看该进程打开的文件
1
2
3
4
5
kill -9 PID #结束进程

rm -rf filename #删除目标文件

若删除不成功lsattr filename查看是否被加上i属性然后使用chattr -i filename移除i属性,在进行文件的删除
1
2
3
4
5
ps -ef | awk '{print}' | sort -n | uniq > 1  #查看隐藏进程123

ls /proc | sort -n | uniq > 2

diff 1 2 #对比

可以用top查看资源占用情况,可针对性的重点排查cpu占用率较高的进程

服务排查

1
chkconfig --list  #查看系统运行的服务

等级0表示:表示关机

等级1表示:单用户模式

等级2表示:无网络连接的多用户命令行模式

等级3表示:有网络连接的多用户命令行模式

等级4表示:不可用

等级5表示:带图形界面的多用户模式

等级6表示:重新启动

1
service --status-all  #可查看所有服务的状态

文件痕迹排查

“我不知道怎么形容,但它一直存在”