应急响应入门之Linux分析排查

前言：

当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。 针对常见的攻击事件，结合工作中应急响应事件分析和解决的方法，总结了一些 Linux 服务器入侵排查的思路。

01文件分析-敏感文件信息

在linux系统下一切都是文件，其中/tmp是一个特别的临时目录文件。每个用户都可以对它进行读写操作。因此一个普通用户可以对/tmp目录执行读写操作。

查看敏感目录文件，如 tmp目录、可执行程序目录/usr/bin ，/usr/sbin等

1.使用la -alt / 查找tmp目录

【一>所有资源获取<一】 1、200份很多已经买不到的绝版电子书 2、30G安全大厂内部的视频资料 3、100份src文档 4、常见安全面试题 5、ctf大赛经典题目解析 6、全套工具包 7、应急响应笔记

2.使用ls —help 查看帮助信息

3.ls的常用用法： ls 用来显示目录列表

-a 显示所有档案及目录

-l 以长格式显示目录下的内容列表

-t 用文件和目录的更改时间排序

4.进入tmp目录，查找最近新添加的可疑文件。

02文件分分析-敏感文件信息

查看开机启动项内容/etc/init.d/，恶意代码很有可能设置在开机启动的位置。

查看指定目录下文件时间顺序的排序：ls -alt | head -n 10

查看文件时间属性: stat 文件名

使用ls -alh /etc/init.d // 查看开机启动项

进入开机启动项目录，对其进行筛选。

针对可以文件可以使用**stat **进行创建修改时间、访问时间的详细查看，若修改时间距离时间日期接近，有线性关联，说明可以被篡改。

如：stat apache2 查看文件详细信息。

03文件分析-敏感文件信息

主要针对新增文件分析：

查找24h内被修改的文件

find ./ -mtime 0 -name “*.php”

查找72h内新增的文件

find ./ -ctime -2 -name “‘*.php”

权限查找，在linux系统中，如果具有777权限，那么文件就很可疑。

find ./ -iname “*.php” -perm 777 其中 -iname忽略大小写，-perm用于设定筛选文件权限

find ./ -ctime -2 -name “‘*.txt” //查找72h内新增的txt文件。

find ./ -iname “*.php” -perm 777 //查找最近新建的含.php文件的，具有最高权限的文件。

新建立一个z.php文件，给予最高权限。

再次进行筛选。

04-网络连接分析

在linux中可以使用netstat进行网络连接查看

netstat -Print network connections，rounting tables，interface statistics，masquerade connections，and multicast memberships

具体帮助信息查看 man netstat

常用命令 **netstat -pantl **查看处于tcp网络套接字相关信息

关闭未知连接使用** kill -9 pid **既可关闭。

使用：netstat -pantl 查看处于tcp网络套接字相关信息

ip a 查看网络信息

发现可疑进程，使用 kill -9 + pid值，然后关闭进程。

05-进程分析-进程所对文件

使用ps命令，分析进程。根据netstat 定位出pid ，使用ps命令，分析进程

使用ps aux 查看你所有进程信息

ps aux | grep “22” 查看最近使用了22端口的进程。

使用pid进行筛选

筛选 pid为647的 进程。

查看端口未22的隐藏进程

06-登录分析-筛选异常登录

在Linux做的操作都会被记录到系统日志中，对于登录也可以查看日志信息查看是否有异常登录

last命令记录着所有用户登录系统的日志，可以用来查找非授权用户的登录事件，而last命令的输出结果来源于**/var/log/wtmp**文件，稍有经验的入侵者都会删掉 /var/log/wtmp以清除自己行踪，但是还是会露出蛛丝马迹在此文件中的

last -i grep -h 0.0.0.0 查看登录日志，筛选非本地登录

last -i //查看登录日志，含登录ip地址。

last -i grep -v 0.0.0.0 查看登录日志，筛选非本地登录

常见的用法： who 查看当前登录用户（tty本地登陆 pts远程登录） w 查看某一时刻用户的行为 uptime 查看有多少用户，以此确定是否存在异常用户 lastb 显示登录失败次数，判断是存在ssh爆破 last 显示用户最近登录信息。 lastlog 登录成功记录

总结：

本文主要总结了在遇到了Linux系统时，应急响应先从对敏感文件分析、敏感文件信息、网络连接分析、进程分析、异常登录记录进行分析。

网络安全入门学习路线

其实入门网络安全要学的东西不算多，也就是网络基础+操作系统+中间件+数据库，四个流程下来就差不多了。

1.网络安全法和了解电脑基础

其中包括操作系统Windows基础和Linux基础，标记语言HTML基础和代码JS基础，以及网络基础、数据库基础和虚拟机使用等...

别被这些看上去很多的东西给吓到了，其实都是很简单的基础知识，同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过，这部分可以直接略过。没学过的同学也不要慌，可以去B站搜索相关视频，你搜关键词网络安全工程师会出现很多相关的视频教程，我粗略的看了一下，排名第一的视频就讲的很详细。 当然你也可以看下面这个视频教程仅展示部分截图： 学到http和https抓包后能读懂它在说什么就行。

2.网络基础和编程语言

3.入手Web安全

web是对外开放的，自然成了的重点关照对象，有事没事就来入侵一波，你说不管能行吗！ 想学好Web安全，咱首先得先弄清web是怎么搭建的，知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点，然后再学点python，起码得看懂部分代码吧。

最后网站开发知识多少也要了解点，不过别紧张，只是学习基础知识。

等你用几周的时间学完这些，基本上算是具备了入门合格渗透工程师的资格，记得上述的重点要重点关注哦！ 再就是，要正式进入web安全领域，得学会web渗透，OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握，像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。

这个过程并不枯燥，一边打怪刷级一边成长岂不美哉，每个攻击手段都能让你玩得不亦乐乎，而且总有更猥琐的方法等着你去实践。

学完web渗透还不算完，还得掌握相关系统层面漏洞，像ms17-010永恒之蓝等各种微软ms漏洞，所以要学习后渗透。可能到这里大家已经不知所云了，不过不要紧，等你学会了web渗透再来看会发现很简单。

其实学会了这几步，你就正式从新手小白晋升为入门学员了，真的不算难，你上你也行。

4.安全体系

不过我们这个水平也就算个渗透测试工程师，也就只能做个基础的安全服务，而这个领域还有很多业务，像攻防演练、等保测评、风险评估等，我们的能力根本不够看。

所以想要成为一名合格的网络工程师，想要拿到安全公司的offer，还得再掌握更多的网络安全知识，能力再更上一层楼才行。即便以后进入企业，也需要学习很多新知识，不充实自己的技能就会被淘汰。

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。

尾言

因为入门学习阶段知识点比较杂，所以我讲得比较笼统，最后联合优快云整理了一套【282G】网络安全从入门到精通资料包，需要的小伙伴可以点击链接领取哦！ 网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！