[系统运维]Linux应急响应篇

?Linux入侵排查

目录

?Linux入侵排查

1、用户信息文件 /etc/passwd

2、密码文件 /etc/shadow

1.2 历史命令

1、查看root用户的历史命令

2、查看普通用户的历史命令

3、历史操作命令的清除：history -c

1.3 检查异常进程

1.4 检查异常端口

1.5 检查开机启动项

1.6 检查定时任务

1、利用crontab创建定时任务

2、利用anacron实现异步定时任务调度

1.7 检查服务

1.8 检查异常文件

1、用户信息文件 /etc/passwd

root : x : 0 : 0 : root : /root : /bin/bash

用户名:密码:用户ID:组ID:用户说明:家目录:登录之后使用的shell

2、密码文件 /etc/shadow

root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV 9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::

用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之 后的宽限天数：账号失效时间：保留

who ? ? ? 查看当前登录用户(tty本地登录，pts远程登录)

w ? ? ? ? ? ?查看系统信息，想知道某一时刻用户的行为

uptime ?查看登录多久，多少用户，负载

last ? ? ? ? 查看最近登录的用户

lastb ? ? ? 查看最近登录失败的用户

入侵排查

1、查询特权用户(uid为0)

awk -F : '$3==0{print $1}' /etc/passwd

2、查看可以远程登录的账号信息

awk '/\ $1|\ $6/{print $1}' /etc/shadow

3、除root账号外，其他账号是否存在sudo权限

more /etc/sudoers | grep "ALL=(ALL)"

4、查看空密码的用户

awk -F : 'length($2)==0{print $1}' /etc/passwd

Tips：无密码的用户只允许本机登录，不允许远程登录

5、禁用或删除多余及可疑的账号

usermod -L user ? 禁用账号，账号无法登录，/etc/shadow 第二栏为!开头

userdel user ? ? ? ? ? 删除user用户

userdel -r user ? ? ? 将删除user用户，并且将/home目录下的user目录一并删除

1.2 历史命令

1、查看root用户的历史命令

history

2、查看普通用户的历史命令

在/home各个用户的目录下的.bash_history，可以查看普通账号的历史命令

cat .bash_history >> history.txt // 将文件内容保存到history.txt中查看

1) 保存1万条命令

? ?sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile

? ?

? ?为历史命令增加登录的IP地址、执行命令时间等信息

2) 在/etc/profile的文件尾部添加如下配置信息：

? ?\######jiagu history xianshi#########?

? ?USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`?

? ?if [ "$USER_IP" = "" ]?

? ?then?

? ?USER_IP=`hostname`?

? ?fi?

? ?export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "?

? ?shopt -s histappend?

? ?export PROMPT_COMMAND="history -a"?

? ?######### jiagu history xianshi ##########

3) 让配置文件生效

? ?source /etc/profile

3、历史操作命令的清除：history -c

此命令并不会清除保存在文件中的记录，因此需要手动删除.bash_profile文件中的记录。

1.3 检查异常进程

使用top | more ?查看可疑进程PID

发现可疑进程，查看进程所对应的文件路径

? 1、ls -l /proc/PID/exe

? 2、file /proc/PID/exe

ps aux | grep PID ,分析进程

1.4 检查异常端口

netstat -anltp | more 检查可疑端口，IP，PID

1.5 检查开机启动项

?查看启动项：
/etc/rc.d/rc.local
/etc/rc.d/rc[0~6].d?
/etc/rc[0~6].d
/etc/rc.local

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 系统运行级别

查看系统运行级别：runlevel

系统默认允许级别

在配置文件 /etc/inittab中

id=3：initdefault ?系统开机后直接进入的运行级别为3

当我们需要开机启动自己的脚本时，只需要将可执行脚本丢在/etc/init.d目录下，然后在/etc/rc.d/rc*.d中简历软链接即可

ln -s /etc/init.d/sshd ? /etc/rc.d/rc3.d/S100ssh

此处sshd是具体服务的脚本文件，S100ssh是其软链接，S开头代表加载时自启动;如果是K开头的脚本文件，代表运行级别加载时关闭

1.6 检查定时任务

1、利用crontab创建定时任务

crontab -l 列出某个用户cron服务的详细内容

Tips: 默认编写的crontab文件会保存在 (/var/spool/cron/用户名 下)

crontab -r 删除所有的计划任务

crontab -e 使用编辑器编辑当前的crontab文件

crontab -u 用户名 -l 查看root用户的定时任务

2、利用anacron实现异步定时任务调度

每天运行 /home/backup.sh脚本：?

vi /etc/anacrontab?

@daily 10 example.daily /bin/bash /home/backup.sh?

当机器在 backup.sh 期望被运行时是关机的，anacron会在机器开机十分钟之后运行它，而不用再等待 7天。

入侵排查
/var/spool/cron/*?
/etc/crontab?
/etc/cron.d/*?
/etc/cron.daily/*?
/etc/cron.hourly/*?
/etc/cron.monthly/*?
/etc/cron.weekly/?
/etc/anacrontab?
/var/spool/anacron/*

1.7 检查服务

服务自启动

第一种修改方法：

chkconfig [--level 运行级别] [独立服务名] [on|off]

chkconfig -level 2345 httpd on

chkconfig httpd on 默认level是2345

第二种修改方法：

修改/etc/rc.d/rc.local文件

加入/etc/init.d/httpd start

第三种修改方法：

使用ntsysv命令管理自启动，可以管理独立服务和xinetd服务。

入侵排查

1、查询已安装的服务：

RPM包安装的服务

chkconfig --list 查看服务自启动状态，可以看到所有RPM包安装的服务

系统在3与5级别下的启动项

中文环境

chkconfig --list | grep "3:启用 \ | 5:启用"

英文环境

chkconfig --list | grep "3:on\ | 5:on"

如果命令被修改可以使用rpm -Va检查发生过变化的软件包

1.8 检查异常文件

1、查看敏感目录，如/tmp目录下的文件，同时注意隐藏文件

2、发现webshell、远控木马的创建时间，可以使用find命令查找同一时间范围内创建的文件：find /opt -iname 1 -type f 找出/opt 目录下一天前访问过的文件

3、针对可疑文件可以使用stat查看文件详细信息

4、md5sum获取文件的md5值，在威胁情报社区进行在线检测

## 1.9 检查系统日志

日志默认存放位置：/var/log/

日志配置情况：/etc/rsyslog.conf

日志分析

1、定位有多少IP在爆破主机的root账号：

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

定位有哪些IP在爆破

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\. (25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4] [0-9]|[01]?[0-9][0-9]?)"|uniq -c

爆破用户名字典是什么

grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr ?

2、登录成功的IP有哪些：

?grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more?

登录成功的日期、用户名、IP：?

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'?

3、增加一个用户kali日志：?

Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001?

Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001,

?home=/home/kali?

, shell=/bin/bash?

Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali #grep "useradd" /var/log/secure?

4、删除用户kali日志：?

Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'?

Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'?

Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali' # grep "userdel" /var/log/secure?

5、sudo授权执行:?

sudo -l?

Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now