安全防护(一):Linux应急响应

原创 已于 2024-07-15 15:08:38 修改 · 1k 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #服务器 #运维 #安全

于 2024-07-15 15:05:10 首次发布

账户安全

关键文件

1、用户信息文件/etc/passwd
root:x:0:0:root:/root:/bin/bash
account:password:UID:GID:GECOS:directory:shell
用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell
注意:无密码只允许本机登陆,远程不允许登陆

2、影子文件/etc/shadow
root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留

命令

1、who  查看当前登录用户(tty本地,pts远程)
user     tty1         2024-07-14 18:57
2、w    查看系统信息,想知道某一时刻用户的行为
 08:42:08 up  4:49,  1 user,  load average: 0.23, 0.16, 0.06
USER     TTY      来自           LOGIN@   IDLE   JCPU   PCPU WHAT
user     tty1     -                日18   13:45m  0.07s  0.00s -bash
第一行:当前时间  系统运行时间  多少用户登录  系统负载平均值:1分钟,5分钟,15分钟
第二行:用户  登陆类型  来自  登陆时间  空闲时间  用户占CPU时间  进程占CPU时间  当前正在执行的命令
第三行:user  本地登录  -  18日登陆  空闲时间为13h45m  用户占CPU时间0.07s  进程占CPU时间0s  正在执行的命令是bash
3、uptime  查看登陆多久,多少用户,负载
08:42:20 up  4:49,  1 user,  load average: 0.18, 0.15, 0.06

入侵排查

用户权限排查

1、查询特权用户(uid为0)
user@debian11:/$ awk -F: '$3==0{print $1}' /etc/passwd
root
命令详解:awk默认使用空格或制表符作为分隔符,-F指定使用:作为分隔符,$3是第三个字段,表示uid,$1是第一个字段,表示username
2、查看是否有其他账户存在sudo权限
user@debian11:/$ sudo cat /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL:ALL)"
root    ALL=(ALL:ALL) ALL
user    ALL=(ALL:ALL) ALL
%sudo   ALL=(ALL:ALL) ALL
命令详解:先查看,第一个grep用于排除注释行和空行,第二个grep用于匹配表示有sudo权限的字符串
3、禁用或删除多余及可疑的账号
usermod -L user:禁用账号,账号无法登陆,/etc/shadow第二栏以!开头
usermod user:删除user用户
userdel -r user:删除user用户,并将/home目录下的user目录一并删除

历史命令

1、系统的历史命令
user@debian11:/$ history | tail
 1378  awk '/\$1|\$6/{print $1}' /etc/shadow
 1379  sudo awk '/\$1|\$6/{print $1}' /etc/shadow
 1380  more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)"
 1381  sudo more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)"
 1382  sudo cat /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)"
 1383  sudo cat /etc/sudoers
 1384  sudo cat /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL:ALL)"
 1385  history
 1386  history | more
 1387  history | tail
2、用户目录下的历史命令
查看.bash_history文件
user@debian11:/$ tail ~/.bash_history
sudo crontab -l -u root
ls /etc/cron.allow
which chattr
ls /etc/rc.local
last
lastb
sudo lastb
lastlog
ls ./log
ls -l /var/log

检查异常端口

netstat命令结果字段详解:

  • Proto: 表示使用的协议类型,常见的有 tcpudpunix
最低0.47元/天 解锁文章
h4ckb0ss
关注
Linux应急响应):SSH暴力破解
08-30 2859
0x00 前言 ​ SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。 0x01 应急场景 ​ 某天,网站管理员登录服务器进行巡检时,发现端口连接里存在两条可疑的连接记录,如下图...
Linux应急响应入侵排查思路
10-28 1595
0x00 前言 ​ 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了Linux服务器入侵排查的思路。 0x01 入侵排查思路 、账号安全 基...
Linux应急响应学习
虚幻私塾
08-28 522
以空格作为分隔符,来将用户名和ip进行提取(用户登录失败的信息)通过在目录下/secure* 来查看登录的日志。通过grep 来将登录失败的用户过滤出来。
Linux应急响应
weixin_64312503的博客
05-21 1024
篇文章主要介绍了windows应急响应的基础技术分析能力,那么本章继续对linux操作系统中应急响应的基础技术分析能力下介绍,希望能对有需要的同学有帮助。以上便是我对linux系统中应急响应过程中常用的些功能和分析方法,从10个方面进行了描述。当然往往安全事件的复杂性可能超出了这些范围,但是当我们将基础的些思路和方法都掌握了,对于些变化上的分析灵活运用和实操便可。文章转载至:奇安信攻防社区-Linux应急响应(butian.net)
Linux应急响应
qq_65469429的博客
06-18 1070
找到后门文件 :/root/shell.elf 、/centos_core.elf2、找到后门账户:wxiaoge3、找到恶意定时任务4、ps命令被替留ps命令后门清除后门文件将ps命令删除再将 .hide_command/ps 恢复删除后门账户#vi编辑额passwd文件,按dd删除 wxiaoge那行,之后保存并推出。
Linux系统安全应急响应:账号与日志检查及异常进程端口排查技术
02-20
内容概要:本文档详细讲解了Linux环境下应对安全事件时进行系统安全应急响应的方法和技术。涵盖查询与限制账户权限(特别是超级用户),检查异常的系统组件,例如端口和服务,并提供了系列具体的命令实例以及排查...
适用于 Linux 系统的安全应急响应检查脚本介绍
09-10
安全应急响应检查脚本通常包含了系列的检测命令和策略,覆盖了Linux系统安全的多个方面,包括但不限于系统漏洞扫描、异常登录行为监测、权限控制检查、服务和端口开放情况、系统日志审计、以及对关键系统文件的...
最全Linux应急响应技巧.pdf
最新发布
11-20
针对Linux环境下的应急响应技巧,本文将介绍如何在Linux系统中识别、清除病毒,以及如何进行闭环兜底和系统加固。 首先,识别病毒现象是应急响应的第步。这步骤需要依靠系统运行状态和安全设备告警来发现主机...
网络安全从入门到精通(特别篇VI):应急响应之网页纂改处置流程
HACKONE的博客
04-10 210
攻击者故意篡改网络上传送的报文 通常已入侵目标系统并篡改数据 劫持网络连接 插入数据的形式进行。
Linux应急响应技巧
weixin_39789796的博客
05-31 1130
、故障现象 linux应急响应主分为4个步骤。1、识别现象,2、清除病毒,3、闭环兜底,4、系统加固 二、查看进程,用top命令按CPU降序排序。 CPU利用率超过70%进程为可疑进程,大楖率是挖矿。 使用ps -aux,病毒般可疑的命令行带有url等奇怪的字符串时,就要注意了,它很可能是个病毒 三、安全网关有无报警 确认主机已经感染了病毒只是第步,接下来得定位,具体是哪个进程在与C&C通信。 监控与目标IP通信的进程: while true; do netstat -antp
Linux应急响应基础知识及常用思路命令(非常全面!!!)
weixin_73113840的博客
02-08 1903
Linux日志分析是指对Linux系统中生成的日志文件进行检查、监控和分析的过程。在Linux系统中,各种服务和应用程序会产生日志文件,记录系统运行状态、用户操作、系统错误、安全事件等信息。分析这些日志可以帮助系统管理员理解系统的运行状况,诊断问题,并确保系统的安全和稳定运行。日志分析可以手动进行,也可以使用各种日志分析工具来自动化这过程。常见的日志文件包括系统日志(/var/log/syslog 或 /var/log/messages)、认证日志(/var/log/auth.log)、应用程序日志等
Linux系统应急响应命令大全
fishfishfishman的博客
08-12 1807
在客户单位值守,难免会遇到需要我们排查Linux系统是否存在病毒的情况,网上临时搜的文章指令不是很全,自己笔记本又不太方便复制指令。于是决定总结下常用指令,发布到博客方便随时使用。
linux应急处理方法,Linux系统下6个常见紧急情况的应急处理方法
weixin_35781524的博客
05-14 202
2011-11-28 13:03朋友你好!我刚开始搞linux,碰到了很多问题,想问你下,希望能帮我解答下。下面是我的段shell 程序#!/bin/shwhile [ 0 ]doread scoreif [ $score -lt 60 ];thenecho " you must work hard!"elif [ $score -lt 80 ]echo " just so so,you sho...
Linux应急处理操作手册
weixin_30781775的博客
06-27 488
基础准备--命令防篡改与命令记录 很多黑客入侵到操作系统后,会两个常见的操作unset history和替换命令文件(或者对应的链接库文件),针对这两点要好记录shelllog并且检查链接库类文件和命令文件最近有没有改动。 RootkitHunter #安装 $sudo wget https://jaist.dl.sourceforge.net/project/rkhunter/rkhunt...
Linux应急
Stars的博客
03-03 426
linux应急响应笔记基础
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值