Linux应急响应

最新推荐文章于 2025-02-10 14:00:14 发布
原创 最新推荐文章于 2025-02-10 14:00:14 发布 · 910 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器 #linux运维 #linux应急响应 #应急响应

1.排查账号

进行linux应急响应,首先你得优先查看是否多出来了管理员

(1)查询特权用户特权用户(uid 为0)

awk -F: '$3==0{print $1}' /etc/passwd

(2)查询进行远程链接的账号信息

awk '/\$1|\$6/{print $1}' /etc/shadow

(3)排查其余账号是否拥有sudo权限

more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

若你的账户出现了:

%admin ALL=(ALL) ALL

那就证明你的服务器开设了很大权限给别的用户,所有账户都有sudo的权限,那就必须尽快修改。

(4)删除可疑账号命令:

userdel user

 2.历史排查 

在linux应急响应中,如果你的服务器没有多出来的账户,那就再查看一手历史命令

# 清空历史命令并清空当前登录会话执行命令
echo > $home./bash_history

虽然大概率历史命令都会被黑客排查出来删除(上述),但是万一黑客没注意历史命令呢?

 查看历史命令:

history

保存历史命令: 


                

        

    


  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    

      

        

            

              
                
                  补天阁
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
Linux应急响应

				
			

			

				

					weixin_64312503的博客
				

				

					05-21
					
					991
					
				

			

		

		

			
				
上一篇文章主要介绍了windows应急响应的基础技术分析能力,那么本章继续对linux操作系统中应急响应的基础技术分析能力做一下介绍,希望能对有需要的同学有帮助。以上便是我对linux系统中应急响应过程中常用的一些功能和分析方法,从10个方面进行了描述。当然往往一些安全事件的复杂性可能超出了这些范围,但是当我们将基础的一些思路和方法都掌握了,对于一些变化上的分析灵活运用和实操便可。文章转载至:奇安信攻防社区-Linux应急响应篇 (butian.net)

			
		

	



                

            
              



	

		

			

          精选资源
				
					
Linux应急响应手册

				
			

			

				

					12-25
				

			

		

		

			
				
Linux应急响应手册是一份专门针对Linux操作系统环境下的安全事件处理和分析的指南。它主要面向网络安全专业人员、系统管理员以及对Linux安全感兴趣的用户群体。该手册深入浅出地介绍了应急响应的重要概念、操作流程...

			
		

	



              


  
              

                


	

		

			

          精选资源
				
					
精品干货-Linux 应急响应手册-479页.pdf

					
最新发布

				
			

			

				

					03-13
				

			

		

		

			
				
即便如此,我依然会尝试构建一个与Linux应急响应相关的内容,尽管它不会反映给定文件的实际内容,但可以作为这一主题的一般性介绍。  Linux作为一款广泛使用的开源操作系统,广泛应用于服务器、桌面、嵌入式系统等多...

			
		

	





	

		

			

				
					
Linux 应急响应手册v1.8 发行版.zip

				
			

			

				

					07-24
				

			

		

		

			
				
Linux应急手册》是一本为Linux系统管理员和运维工程师量身打造的...本书内容涵盖了Linux系统安全、性能优化、故障排查等多个方面,通过丰富的实战案例和详细的操作步骤,帮助读者掌握Linux应急响应的核心技能和知识。

			
		

	



		

			
		



	

		

			

          精选资源
				
					
最新Linux 应急响应手册v1.8 发行版

				
			

			

				

					01-11
				

			

		

		

			
				
最新Linux 应急响应手册v1.8 发行版

			
		

	





	

		

			

				
					
Linux 应急响应手册v1.3 发行版-s1

				
			

			

				

					08-04
				

			

		

		

			
				
Linux 应急响应手册v1.3 发行版-s1  本手册旨在提供 Linux 操作系统的应急响应指南,帮助用户快速处理常见的安全事件和故障排除。下面是从本手册中提取的关键知识点:  Linux 应急响应  * 应急响应手册v1.3 发行版-...

			
		

	





	

		

			

				
					
应急响应Linux

				
			

			

				

					qq_73792226的博客
				

				

					08-16
					
					1321
					
				

			

		

		

			
				
【代码】应急响应Linux

			
		

	





	

		

			

				
					
Linux应急响应(一):SSH暴力破解

				
			

			

				

					
				

				

					08-30
					
					2825
					
				

			

		

		

			
				
0x00 前言

​ SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。

0x01 应急场景

​ 某天,网站管理员登录服务器进行巡检时,发现端口连接里存在两条可疑的连接记录,如下图...

			
		

	





	

		

			

				
					
应急响应-Linux

				
			

			

				

					sechelper的博客
				

				

					01-11
					
					898
					
				

			

		

		

			
				
应急响应指遇到重大或突发事件后所采取的措施和行动。应急响应所处置的突发事件不仅仅包括硬件、产品、网络、配置等方面的故障,也包括各类安全事件,如:黑客攻击、木马病毒、勒索病毒、Web攻击等。

			
		

	





	

		

			

				
					
Linux 应急响应指南

				
			

			

				

					Sgirll的博客
				

				

					02-10
					
					1033
					
				

			

		

		

			
				
希望这篇分享能为各位安全人员在实战中提供帮助,也欢迎大家交流更多经验与技巧!

			
		

	





	

		

			

				
					
Linux应急响应学习

				
			

			

				

					虚幻私塾
				

				

					08-28
					
					517
					
				

			

		

		

			
				
以空格作为分隔符,来将用户名和ip进行提取(用户登录失败的信息)通过在目录下/secure* 来查看登录的日志。通过grep 来将登录失败的用户过滤出来。

			
		

	





	

		

			

				
					
Linux应急响应入侵排查思路

				
			

			

				

					
				

				

					10-28
					
					1561
					
				

			

		

		

			
				
0x00 前言

​ 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。

针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。

0x01 入侵排查思路

一、账号安全

基...

			
		

	





	

		

			

				
					
Linux应急响应流程

				
			

			

				

					06-09
				

			

		

		

			
				
Linux应急响应Linux Incident Response, LIR)是一个系统管理员或安全专家在Linux系统遭受安全事件时采取的一系列步骤。这个流程通常包括以下几个阶段:

1. **检测和确认**:
   - 监控系统日志和安全工具(如审计工具、入侵检测系统)以发现异常活动。
   - 确认事件是否真实发生,而不是误报或意外。

2. **隔离和封锁**:
   - 尽快从网络上隔离受攻击的系统,防止进一步的损害或感染其他设备。
   - 切断可能被利用的服务或连接。

3. **证据收集**:
   - 保存现场,包括截图、日志文件、网络流量等,为后续调查提供线索。
   - 避免修改任何可能影响调查的信息。

4. **分析和识别**:
   - 使用工具分析恶意软件、行为模式,确定攻击类型和方法。
   - 查阅安全数据库和情报,查找类似攻击案例。

5. **修复和恢复**:
   - 修复已知的安全漏洞。
   - 清理恶意软件,如使用取证工具清除恶意进程和文件。
   - 数据恢复,如果可能的话,从备份中恢复受损数据。

6. **报告和沟通**:
   - 编写详细的事件报告,包括发现的威胁、应对措施和建议。
   - 向管理层和相关人员通报情况,可能还包括外部安全团队或执法机构。

7. **预防和改进**:
   - 更新系统补丁和安全配置。
   - 完善安全策略和流程,提高应急响应能力。
   - 培训团队,增强安全意识和应对技巧。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  

	
    

      

      

      

        
        

          
          

            

              成就一亿技术人!
            

            

              拼手气红包6.0元
            

          

        

        

          

            还能输入1000个字符
          

          

             
          

          

            

              红包
              添加红包
            

            

              表情包
              插入表情
              

                

              

            

            

              表情包
              代码片
              

                
              

            

            

              
              
              
              
              
              
              
            

          

        

      

    

		

			

			

			

					 条评论被折叠 查看
			

			

				
			

		

	

	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值