攻防演练,作为蓝方,centos的操作系统,怎么查看是不是有隐藏用户,有没有获取权限

最新推荐文章于 2025-01-22 11:26:37 发布
原创 最新推荐文章于 2025-01-22 11:26:37 发布 · 775 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#centos #linux #服务器

本文详细介绍了在CentOS操作系统中作为防守方如何通过检查系统用户、登录记录、进程、特权、启动项、网络活动以及使用安全工具来发现隐藏用户和未授权权限。这些步骤有助于保障系统的安全和完整性。

在攻防演练中,作为蓝方(防守方),检查 CentOS 操作系统中是否存在隐藏的用户以及是否有未授权的权限获取是非常重要的。以下是一些检查步骤和工具的使用方法,这些可以帮助你确保系统的安全和完整性。

1. 检查系统用户

查看 /etc/passwd 文件

这个文件包含了系统上所有用户的列表。你可以通过以下命令查看:

cat /etc/passwd

这将列出所有用户和它们的信息,包括登录名、用户ID(UID)、组ID(GID)、家目录以及默认的shell。

检查没有登录shell的用户

有些隐藏用户可能没有分配有效的shell,这些通常是系统或服务账户,但也可能是潜在的隐藏用户:

awk -F: '$7 == "/sbin/nologin" {print $1}' /etc/passwd

或者检查 /usr/sbin/nologin/bin/false

awk -F: '($7 == "/sbin/nologin" || $7 == "/bin/false") {print $1}' /etc/passwd

2. 检查用户登录记录

查看当前登录的用户

使用 whow 命令查看当前登录到系统的用户:

who

或者

w

查看最近登录的用户

使用 last 命令可以查看系统最近用户登录的记录:

last

3. 查看系统进程和活动

检查当前运行的进程

使用 ps 命令检查所有运行的进程,并搜索非标准路径或者未知的执行文件:

ps aux

4. 检查特权获取和提升

查看有 root 权限的进程

ps aux | grep '^root'

检查 sudo 权限的历史记录

cat /var/log/secure | grep sudo

5. 检查启动项和服务

未授权的服务或者脚本可能被配置为启动时执行:

systemctl list-unit-files --type=service

检查 /etc/rc.local 和 Cron 任务:

crontab -l
cat /etc/crontab

6. 检查网络活动

查看当前网络连接

使用 netstatss 查看活动的网络连接:

netstat -tulnp

或者

ss -tulnp

7. 使用安全工具

可以使用如 Lynis 或 chkrootkit 这样的安全审计工具进行全面检查:

# Lynis
lynis audit system

# chkrootkit
chkrootkit

通过上述步骤,你可以在一定程度上发现潜在的隐藏用户和未授权的权限获取行为。确保定期进行这些检查,以维护系统的安全性。

Centos7 查看、增加、删除用户组与用户
专注基础架构领域
05-31 4956
查看用户: $ cut -d : -f 1 /etc/passwd 查看用户组: $ cut -d : -f 1 /etc/group 添加用户组: $ groupadd zzx 删除用户组: $ groupdel zzx 添加用户(-g后面是用户组 最后的是用户名 -d后面是指定用户目录): $ useradd -g zzxGr...
攻防演练蓝方值守阶段经验技巧
HBohan的博客
09-16 1853
随着国家对网络安全的建设不断加强,各地组织的攻防演练行动会越来越多。今天来分享蓝方在正式防护阶段时,需要重点加强防护过程中的安全保障工作,从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等方面全面加强演习过程的安全防护效果。 【网安学习攻略】 全面监控 安全事件实时监测 借助安全设备(全流量分析设备、Web防火墙、IDS、 IPS、 数据库审计等)开展安全事件实时监测,对发现的攻击行为进行确认,详细记录攻击相关数据,为后续处置工作开展提供信息。 综合研判 安全事件综合研判 确认方式:攻击方式确认、攻击路
Linux安全问题,如何查看哪个用户是可疑用户?如何批量删除这些用户
weixin_70208651的博客
01-20 2008
Linux系统被人入侵时,攻击者很可能会尝试新建账户来保持对系统的持久访问。通过创建新的用户账户,攻击者可以更容易地隐藏他们的活动,并在将来重新获得访问权限,即使他们的初步入侵行为被检测到并进行了某些清理工作。我们可以采用一些linux命令,比如/etc/passwd, cat, getent, uerdel, awk等命令来处理。
判断用户是否存在
05-09 1057
 ///         /// 判断是否存在登录名为loginName的用户        ///         /// 用户登录名        /// 如果存在,返回true;否则,返回false        //        public static bool HasUser(string loginName)        {            Database db = n
Linux Centos中的默认权限隐藏权限(文件、文件夹)
kwame211的博客
02-20 2822
一个文件(或文件夹)拥有若干个属性。包含(r/w/x)等基本属性,以及是否为文件夹(d)与文件(-)或连接文件(l)等属性。此外,Linux还能够设置其它系统安全属性。使用chattr来设置。以lsattr来查看。最重要的是能够设置其不可改动的特性,即便是文件的拥有者都不能进行改动。 这个属性相当重要。尤其是在安全机制方面(security)。 新增规则 setfacl -m u:admin:x xt drwxr-xr-x+ 5 root root ...
centos 账户和权限管理
qq_59726553的博客
02-29 2606
centos 账户管理,用户创建、删除、修改,用户组创建、修改、添加成员,文件权限的修改。
怎样组织一次攻防演练比赛- 前期准备阶段
m0_73803866的博客
10-01 2172
二是人员 准备,包括攻击队、防守队的人员选拔与审核,队伍组建等。在演练过程中,针对参演单位失陷的业务系统,组织攻击队和参 演单位进行应急事件处理,目的是通过应急演练,快速恢复业务和检 验参演单位的应急响应机制与流程,利用实战演练环境将演练实战 化,提升参演单位的应急响应能力和完善应急响应机制。5)整改建议:实战攻防演练工作完成后,演练组织方组织专业技 术人员和专家,汇总、分析所有攻击数据,进行充分、全面的复盘分 析,总结经验教训,并对不足之处给出合理整改建议,为防守队提供 具有针对性的详细过程。
网络攻防演练.网络安全.学习
助力开发者进阶为高效技术管理者,记录沉淀打造可复用的工程方法论体系
07-07 5027
网络安全攻防演练,是以不限制手段、路径,进行获取权限并攻陷指定靶机为目的实战攻防演练。通过真实网络中的攻防演练,采用不限攻击路径和攻击手段的方式,最大限度地模拟真实的网络攻击,以检验防守方的安全防护和应急处置能力,锻炼应急响应队伍,提升网络安全的综合防控能力。
攻防演练过程中防守方必备的关键安全设备
maoguan121的博客
09-29 2552
部署安全设备及系统是防守工作的必要条件之一,以下通过边界 防御设备、安全检测设备、流量监控设备、终端防护设备、威胁情报 系统这五方面帮助读者了解、熟悉红队常用的关键安全设备。
攻防演练2021纪实与总结
随便记记笔记
04-27 4425
2020年在蓝方,银行系某单位负责某厂商设备的监控 2021年在红方 不管对于蓝方还是红方,资产梳理都十分重要,资产梳理对蓝方来说可以快速的定位到发生问题的位置,及时响应,对红方有助于理解蓝方的组织结构,网络结构,找到关键点 蓝方 监控面临的很大的问题就是日至太多 某正部级单位, 通过某直属单位的OA系统,一个致远OA,1day没有补,权限绕过+后台任意文件上传拿了root的shell 然后通过数据库配置文件,拿到OA的mysql数据库的用户名密码 内网扫了一下有一些ssh和mysql的弱口令,还有redi
linux添加用户隐藏权限
weixin_30621711的博客
06-27 1000
1、添加用户报错提示: [root@server-2 etc]# useradd guset useradd: cannot open /etc/group 2、查看 /etc/group文件权限正常 3、查看下面四个文件是否有隐藏权限 [root@localhost~]#lsattr/etc/passwd -------------/etc/passwd [root...
linux添加隐藏账户,Linux——CentOS7添加/删除用户用户
weixin_39815286的博客
05-08 1422
Linux——CentOS7添加/删除用户用户组2017年11月23日 11:17:56ataoajuan阅读数:6932版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.youkuaiyun.com/ataoajuan/article/details/78612465前言今天又重新装了centos7突然有关用户用户组有关的命令记不清了,所以记一下,也方便你我学习。———...
Linux查找启动的隐藏服务,Linux服务器入侵检测排查方法
weixin_36071315的博客
05-02 669
1、账号安全基本使用:1 )用 户 信 息 文 件 /etc/passwd root:x:0:0:root:/root:/bin/bashaccount:password:UID:GID:GECOS:directory:shell用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell 注:无密码只允许本机登陆,远程不允许登陆2)影子文件/etc/shadowroot:$6$oGs1P...
CentOS7基础命令第三章用户权限
YSK981021的博客
04-18 443
chmod空格u+s空格/usr/bin/cat为cat添加suid超级权限chmod u+s /usr/bin/cat。chmod空格u-s空格/usr/bin/cat为cat取消临时的suid权限chmod u-s /usr/bin/cat。chmod空格a=-空格文件名所有人都没有读写执行的权限chmod a=- yu.txt。ls空格-l-d空格/tmp/查看目录本身的文件信息ls -l-d /tmp/ll空格/tmp/目录/-d查看目录的权限:ll /tmp/ysk/-d。
linux入门:在自己的Linux服务器上创建隐藏账户
arm的博客
03-07 2649
linux系统创建用户常用命令:useradd......
怎么查找Linux服务器是否有后门账户
网站安全专家
11-15 1634
依据我们SINE安全15年的安全从业经验来看,检查Linux服务器里是否被植入隐藏的系统账户后门,可以编辑一下/etc/passwd文件中的新增的潜藏用户,还可以利用awk命令,查询uid=0以及uid>=500的所有用户名,如下图的指令就可以查询是否有异常的后门账户,还可以查看Linux 账户的登录历史记录,以及登录的IP来看下,是否有异常的账号和IP登录过服务器。还可以将SINE账户写到Linux 里的/etc/passwd文件,VI编辑以后,通过passwd命令,设置SINE账户的密码。
攻防演练作为蓝方,怎么知道服务器已经有隐藏用户
keyboard专栏
04-17 1565
Linux 系统中,查找所有用户帐户通常意味着查看系统用来存储用户信息的文件。最主要的文件是,它包含了系统上所有用户的列表。下面是一些基本方法和命令,帮助你查找和分析 CentOS 系统上的所有账户信息,而不仅仅是隐藏或非活动的帐号。
通过配置核查,CentOS操作系统当前无多余的、过期的账户;但CentOS操作系统存在共享账户r***t
最新发布
eagle89的专栏
01-22 590
这些命令可以帮助你检查用户账户的状态,确保系统安全。如果你需要进一步的配置核查,可能需要编写脚本或使用特定工具来自动化这一过程。通过配置核查,CentOS操作系统当前无多余的、过期的账户;但CentOS操作系统存在共享。
linux查看当前用户登录的命令
都是曾经而已
08-20 5216
1. 使用w命令查看登录用户正在使用的进程信息 w命令用于显示已经登录系统的用户的名称,以及他们正在做的事。该命令所使用的信息来源于/var/run/utmp文件。w命令输出的信息包括: ·        用户名称 ·        用户的机器名称或tty号 ·        远程主机地址 ·        用户登录系统的时间 ·        空闲时间(作用不大) ·     
网络安全攻防演练红方
01-04
### 网络安全攻防演练中的红方角色 在网络攻防演练中,红方扮演的是攻击者的角色[^4]。主要职责在于模拟真实的黑客行为模式和技术手法,旨在检测并暴露蓝方(防守方)信息系统内的潜在弱点。 #### 红方的主要任务包括但不限于: - **多维度攻击**:对目标系统实施综合性的进攻操作,涉及物理层到应用层面的不同层次。 - **社会工程学利用**:评估内部员工的安全意识水平,比如钓鱼邮件测试等方法验证人员对于未知威胁源的警惕程度。 - **漏洞挖掘与利用**:寻找未被修复的安全缺陷,并尝试以此为基础进一步深入渗透至核心资源位置。 --- ### 策略部署 为了有效地完成上述使命,红队通常采用如下几种典型策略: - **情报收集阶段**:广泛搜集有关于目标环境的信息资料,如公开可用的数据、社交网络上的线索乃至企业官网发布的新闻公告等内容,这些都可能成为后续行动的重要依据。 - **工具准备**:选用合适的自动化扫描器、脚本编写框架以及其他辅助性程序库来加速整个过程的发展进度,提高工作效率的同时也降低了人为失误的风险概率。 - **持续改进机制**:基于每次实战经验教训不断调整优化自身的战术布局,确保能够紧跟最新趋势变化而做出快速响应措施。 ```bash # 使用Nmap进行端口和服务探测 nmap -A target_ip_address ``` --- ### 实践技巧分享 当面对具体的技术难题时,掌握特定的操作技能显得尤为重要。以下是几个实用的小贴士供参考: - **弱密码破解**:如果遇到数据库管理系统存在简单易猜解密钥的情况,则可以通过暴力枚举法或是字典匹配的方式迅速定位正确组合[^5]。 ```sql -- 尝试连接PostgreSQL实例 psql -h localhost -U username dbname -W password_guess ``` - **权限提升**:一旦成功登录某台主机之后,下一步便是设法扩大影响力范围直至获得超级管理员身份,这往往涉及到内核级编程接口调用或者是配置文件篡改等方面的知识积累。 - **横向移动**:借助已经掌控的部分节点作为跳板去访问其他关联资产,形成连锁反应式的扩散态势,从而达到全面接管的目的。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MonkeyKing.sun

对你有帮助的话,可以打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值