Linux&Windows应急响应+案例分析

于 2024-04-19 09:54:41 发布
阅读量1.5k 收藏 27
点赞数 23
文章标签: linux windows 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_84434570/article/details/137953191
版权

应急响应

Linux

文件

ls -alt #查找72小时内新增的文件

find / -ctime -2 #文件日期、新增文件、可疑/异常文件、最近使用文件、浏览器下载文件

/var/run/utmp #有关当前登录用户的信息记录

/etc/passwd #用户列表

/tmp #临时目录

find / *.jsp -perm 4777 #查找777的权限的文件(可以将文件名进行修改phppyhtmlsh等)

隐藏文件.xxxx

命令目录:/usr/bin/usr/sbin

日志

/var/log/messages 包含整体系统信息,其中也包含系统启动期间的日志。此外,mail,cron,daemon,kern和auth等内容也记录在var/log/messages日志中。

/var/log/dmesg 包含内核缓冲信息。在系统启动时,会在屏幕上显示许多与硬件有关的信息。可以用dmesg查看它们。

/var/log/auth.log 包含系统授权信息,包括用户登录和使用的权限机制等

/var/log/boot.log 包含系统启动时的日志

/var/log/daemon.log 包含各种系统后台守护进程日志信息

/var/log/dpkg.log 包含安装或dpkg命令清除软件包的日志

/var/log/kern.log 包含内核产生的日志,有助于在定制内核时解决问题

/var/log/lastlog 记录所有用户的最近信息。这不是一个ASCII文件,因此需要用lastlog命令查看内容

/var/log/maillog /var/log/mail.log 包含来着系统运行电子右键服务器的日志信息。

/var/log/user.log 包含所有等级用户信息的日志

/var/log/secure 包含验证和授权方面信息。例如,sshd会将所有信息记录(其中包括失败登录)在这里

/var/log/faillog 包含用户登录失败信息。此外,错误登录命令也会记录在本文件中

/var/log/lastlog 文件记录用户最后登录的信息,即lastlog

查看爆破主机的ROOT账号的IP: grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort

查看登录成功的日期、用户名及IP: grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'

用户

/etc/shadow 密码登陆相关信息

uptime 查看用户登陆时间

/etc/sudoers 查看sudo用户列表

awk -F: '{if($3==0)print $1}' /etc/passwd 查看UID为0的帐号

lastb 用户错误的登录列表

进程

lsof 查看当前全部进程

lsof -i:1677 查看指定端口对应的程序

lsof -p 1234 检查pid号为1234进程调用情况

lsof -g pid

strace -f -p 1234 跟踪分析pid号为1234的进程

ps -aux或ps -ef

端口

netstat -anpt

自启动

~/.bashrc
rc.local
/etc/init.d
chkconfig
chkconfig --list | grep "3:on|5:on"
/etc/init.d/rc.local
/etc/rc.local
/etc/init.d/ 开机启动项
/etc/cron* 定时任务

计划任务

crontab -l
crontab /etc/cron*
crontab -u root -l
cat /etc/crontab
ls /etc/cron.*
/var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.mont

最低0.47元/天 解锁文章
网络安全从入门到精通(特别篇I):Linux安全事件应急响应Linux应急响应基础必备技能
HACKONE的博客
04-10 1019
awk 首先将每条日志中的IP抓出来,如日志格式被自定义过,可以 -F 定义分隔符和 print指定列;
Windows应急响应
weixin_59872639的博客
03-23 4942
账户排查 账户排查主要包含以下几个维度 登录服务器的途径 弱口令 可疑账号 新增账号 隐藏账号 克隆账号 服务器是否存在被远程登录的途径 3389 smb,445 http ftp 数据库 中间件 弱口令排查维度与上述服务器登录一样 弱口令排查方式 查看是否启用组策略,限制弱口令 用户访谈,直接询问管理员是最好的方法 查看是否有暴力破解日志,并登录成功 最后上述都无效的情况,可以尝试读取明文密码 隐藏账号 使用net user看不到账号 使用本地用户管理也看不
一个在Linux系统下的入侵响应案例
03-10 718
受到攻击 最近,某校校园网管理员接到国外用户投诉,说该校园网中的一台视频服务器正在对外进行非法的TCP 443端口扫描。该视频服务器的地址是192.168.1.10,操作系统为redhat7.3,对外开放端口为TCP 22、80、443。 然而,管理员在机器上经过重重仔细检查,未观察到任何异常。在此情况下,我们接受请求帮助他们检查机器。 初步检测 我们首先在交换
应急响应实战笔记——Linux实战篇:④ 盖茨木马
君逍遥o
04-10 875
Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中,大量使用Gates这个单词。分析和清除盖茨木马的过程,可以发现有很多值得去学习和借鉴的地方。
一次真实的应急响应案例(Linux)——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)
W小哥
04-21 4851
一、SSH协议介绍 SSH(Secure Shell)是一套协议标准,可以用来实现两台机器之间的安全登录以及安全的数据传送,其保证数据安全的原理是非对称加密。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。 危害: SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。 一、事件背景 某天客户反馈:Linux服务器有异常链接,疑似被入侵。 ..
应急响应思路分享及案例
m0_64583632的博客
04-25 849
应急响应思路分享、面对常见病毒的应急响应
windows&linux&web安全应急响应实战笔记
最新发布
09-18
这是一个关于安全事件应急响应的项目,从系统入侵到事件处理,收集和整理了一些案例进行分析。 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最...
LinuxWindows应急响应流程
song_jiazhibo的博客
10-12 2063
LinuxWindows应急响应流程 一、Linux应急响应 主要流程步骤: ①识别现象-> 从客户场景的主机异常现象出发,先识别出病毒的可疑现象 ②清除病毒-> 然后定位到具体的病毒进程以及病毒文件,进行清除 ③闭环兜底-> 病毒一般会通过一些自启动项及守护程序进行重复感染,所以我们要执行闭环兜底确保病毒不再被创建 ④系统加固-> 将主机上的病毒项清除干净后,最后就是进行系统加固了,防止病毒从Web再次入侵进来。 具体实施过程: 1、识别现象: 通过系统运行状态、安全设备告警,
一次真实的应急响应案例(Windows2008)——暴力破解、留隐藏账户后门与shift粘贴键后门、植入WaKuang程序——事件复现(含靶场环境)
热门推荐
W小哥
04-02 1万+
一、事件背景 某天客户反馈:服务器疑似被入侵,与恶意IP进行通信(恶意IP用192.168.226.131代替)。(真实案例自己搭建环境复现一下,靶场环境放在了 知识星球 和 我的资源 中) 受害服务器: Centos系统、IP: 192.168.226.132、无WEB服务 二、应急响应过程 2.1 排查网络连接 2.2 排查历史命令 2.3 排查后门账户 2.4 排查crontab后门 2.5 排查是否有命令被替换 三、应急响应溯源 3.1 查看后门 3.2 排查安全日志 3.2 溯源总结 至此,应急响
linux 网卡事件,Linux入侵应急响应案例及处置总结
weixin_33121737的博客
05-05 401
原标题:Linux入侵应急响应案例及处置总结一个具体的Linux入侵应急响应案例,写的很全面,值得参考 :处置总结转自公众号:网络安全渗透hack一、审计命令在linux中有5个用于审计的命令:last:这个命令可用于查看我们系统的成功登录、关机、重启等情况;这个命令就是将/var/log/wtmp文件格式化输出。lastb:这个命令用于查看登录失败的情况;这个命令就是将/var/log/btmp...
【应急案例Linux应急记录
Fly_鹏程万里
02-22 659
0x01 背景 本周是在目前公司的最后一周,周五就离职了,在这里待了2年半时间,说短也不短,职业生涯可能也没多少个2年半。出门和同事去撸串的路上收到的告警,急忙赶回来处理,很简单的一次应急,没什么技术含量,因为时间点特殊才想着记录一下,毕竟是最后一次应急响应。 0x02 排查过程 看到告警信息,发现Java进程执行了Wget操作,下载了一个Python文件,访问Python文件,内容如下: ...
linux应急处置案例学习
weixin_33762130的博客
04-19 227
转载来自:https://secvul.com/topics/1142.html 1 发现网络异常通信,使用lsof命令 此处,使用lsof -i -PnR命令 2 查看到可以进程到联网行为后,使用kill命令 此处我们结束4322进程举例: 3 如果重复不能结束掉,则进入进程内存中查找字符串看看都有什么 举例:我们到进程号为7057的地方,使用命令:cd proc/7057cat * |st...
Windows系统应急响应
谢公子的博客
10-02 1346
Windows 系统的应急事件,按照处理的方式,可分为下面几种类别: 病毒、木马、蠕虫事件 Web 服务器入侵事件 或安装的第三方服务入侵事件。 系统入侵事件,如利用 Windows 的漏洞攻击入侵系统、利用RDP服务弱口令入侵,跟 Web 入侵有所区别,Web 入侵需要对 Web 日志进行分析,系统入侵只能查看 Windows 的事件日志。 网络攻击事件(DDoS、ARP、DNS 劫持...
windows应急响应
weixin_45427650的博客
03-17 1165
资料:https://www.cnblogs.com/bmjoker/p/9483729.html 下面对资料进行整理补充 lusrmgr.msc :打开本地用户的组 eventvwr.msc :打开“事件查看器”。 tasklist | findstr “PID” :进程定位 msinfo32 :打开 “系统信息” services.msc :打开服务 regedit ...
实战Linux应急响应踩坑与深度反思(上)
技术超强的网络安全平台
05-19 829
实战Linux应急响应踩坑与深度反思 写在前面 随着近几年安全行业的兴起,攻击者的攻击手法也大不相同,在不经意间自己的服务器就给别人攻击了,面对这些情况我们如何做出处理显得至关重要,在应急响应的过程中我们遇到的情况可能,有的时候可能踩坑,对每一次应急响应做出反思,那么在以后的工作中就可能少踩坑,效率也会提高,下面将介绍一次对自己服务器应急踩坑事件、进行深刻反思并扩展知识,请勿喷我的低级错误。 挖矿应急响应分析 突然手机收到一条短信,直接给我搞蒙了,我的服务器给日了?心里有点慌,马上登录服务器查看。 ...
windows应急响应(一)
Websec
09-10 1913
常见的入侵时间的排查思路如下: 攻击类型定位->时间范围->文件分析->进程分析->系统分析->日志分析->关联分析->逻辑推理->事件总结 参考文章:http://www.freebuf.com/column/178677.html https://www.cnblogs.com/shellr00t/p/6943796.html?utm_so...
应急响应-Linux
sechelper的博客
01-11 844
应急响应指遇到重大或突发事件后所采取的措施和行动。应急响应所处置的突发事件不仅仅包括硬件、产品、网络、配置等方面的故障,也包括各类安全事件,如:黑客攻击、木马病毒、勒索病毒、Web攻击等。
Windows应急响应
weixin_50464560的博客
05-04 2330
转载至奇安信攻防社区-Windows应急响应Windows应急响应篇 本篇主要以windows应急响应的基础技术手段进行介绍。 一、概述: 近年来,随着互联网的发展网络安全攻击事件也是大幅度增多,如何在第一时间发现攻击事件,并实施应急处置,能够有效的将损失降到最低。在实施应急响应的过程中,需要从多方面进行联动工作,具体的流程和依据可以参考《GB∕T 38645-2020 信息安全技术 网络安全事件应急演练指南》,本篇主要以windows应急响应的基础技术手段进行介绍。 二、技术分析 1、
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值