应急事件检测 入门篇-Linux信息检测

 

一、系统用户信息收集

确定系统中是否有一个看起来可疑的用户

Cat/etc/passwd

查看用户密码信息,且只有root用户可以查看。

cat /etc/shadow

查看用户组信息

cat/etc/group

快速定位sudo组

查看当前登录系统用户信息

whoami

w

who

netstat -pantu 查看网络状态

启动ssh服务。

使用ssh 127.0.0.1 登录。

last //查看登录记录

lastb //查看登录日志记录

 

二、linux系统文件信息收集

ls -alh 查看当前路径下的文件信息

识别系统中任何过大的文件及其权限

find /home/ -type f -size +512k -exec ls -lh {} \; //查看home目录下文件大于512k的文件信息

找到所有SUID的文件
find / -perm -u=s -type f 2>/dev/null

查找用户有su权限的文件目录。

find命令suid提权
which find //查看文件路径

chmod u+s /usr/bin/find 给用户添加s的权限

ls -la /usr/bin/find 查看find的权限

使用之前的命令,发现他已经被添加到suid文件中。

find / -perm -u=s -type f 2>/dev/null

find . -exec “whoami” \; 查看文件权限,权限为root用户的权限

创建test文件,查看test的文件权限.

 

三、系统资源信息

查看服务器已经运行了多长时间、系统中的当前时间、当前登录了多少用户以及系统的平均负载
uptime

查看Linux中系统的内存使用情况,系统中使用的物理内存和交换内存,以及内核使用的缓冲区
free

检查系统上是否存在未知的挂载
cat /proc/mounts

 

四、服务信息

service —status-all //获取当前系统所有服务信息 +开启 -关闭

cat /etc/crontab 查看计划任务的信息

筛选开启的服务

more /etc/resolv.conf 查看DNS服务的ip地址

more /etc/hosts 查看

iptables -L -n 查看防火墙规则

 

五、网络信息收集

arp指令用来管理系统的arp缓冲区,可以显示、删除、添加静态mac地址。
arp -vn

添加静态映射
arp -i eth0 -s IP地址 MAC地址

显示网络连接信息
netstat -pantu

IP地址信息查看
ifconfig

    ip a

 

六、应急响应流程

01应急响应取证

定义:计算机调查取证,是法医学下的一个分支,与法医相似,计算机调查取证是有关从计算机中获取电子证据并加以分析的过程。
使调查的结果能够经受法庭的检查。

02应急响应根除

方法:
    利用杀毒软件、杀毒脚本、手工查杀等方式彻底消除病毒,并检测整个网络系统,以确保不要留下后门。
    针对不同操作系统,使用打补丁、修改安全配置和增加系统带宽的方式,降低安全风险。

03应急响应恢复

方法:
    利用备份文件恢复用户数据和配置信息
    将受到入侵和可能存储漏洞的服务关闭,修改后重启服务
    连接网络,恢复业务,持续监控并进行汇总分析

04应急响应报告

方法:
    1、事情经过
    2、事件成因
    3、评估事件影响
    4、采取措施
    5、事后系统定级、备案、测评等情况

 

总结:

本文主要从完整的Linux的应急响应过程出发,主要包括系统用户信息收集、linux系统文件信息收集、系统资源信息、服务信息、网络信息收集,最后梳理整个应急响应流程。

(完)