1 Web安全 linux下應急響應(入侵排查)

2021-10-22 21:26:00 字數 2601 閱讀 7325

應急響應通常是在當伺服器被黑客入侵後,我們需要對入侵事件進行系統的溯源和排查。主要思路就是先對入侵事件分類,然後進一步對伺服器進行排查,清理木馬病毒以及留下的後門程式,分析黑客的入侵方式並修復漏洞,確保伺服器的正常執行。

第一步就是登入伺服器排查歷史命令記錄,分析黑客在伺服器進行了哪些操作,明確下一步的分析方向。

linux系統缺省會記錄使用者輸入的命令,儲存到乙個.bash_history隱藏檔案中,ls -al命令可以檢視隱藏檔案,history命令可以檢視root使用者的歷史命令,cat /root/.bash_history也可以檢視普通使用者的歷史命令。

在linux系統中操作都會被記錄到系統日誌當中,每個使用者登入的資訊都會記錄到日誌,root使用者在linux中擁有最高許可權,可以執行任何操作,在進行排查的時候非常有必要排查linux下是否有異常使用者。

linux下的使用者資訊存放在/etc/passwd目錄下(無密碼只允許本機登陸,遠端不允許登陸),密碼則存放在/etc/shadow目錄。

/etc/passwd檔案:

┌──(songly㉿kali)-[~]


└─$ cat /etc/passwd


root:x:0:0:root:/root:/usr/bin/zsh


daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
檔案中的每一行代表乙個使用者的資訊,每個欄位用分號分割,使用者名稱:密碼:使用者id:組id:使用者說明:家目錄:使用者對應的shell。

/etc/shadow檔案:

┌──(root?kali)-[/home/songly]


└─# cat /etc/shadow 


root:$y$j9t$vtgt7hatc1ap2/wr1wbma/$ehobq4knvn3/qulzcmv3/6f4vg4be8c2cxzdxggbkmc:18696:0:99999:7:::


daemon:*:18696:0:99999:7:::


bin:*:18696:0:99999:7:::

ls -l /etc/passwd  //檢視檔案修改時間,或者通過cat命令篩選出具有root許可權的使用者:

awk -f: '$3==0' /etc/passwd //檢視具有root許可權的使用者

uptime //檢視登陸多久、多少使用者,負載

w //檢視系統資訊,想知道某一時刻使用者的行為

last命令可以檢視登入歷史:

日誌會把每個使用者登入的日誌記錄下來,last -i | grep -v 0.0.0.0命令可以篩選出非本地登入的日誌,可以看到有兩個非本地ip的使用者登入了伺服器。

可以看到有很多ip跟主機建立了http服務(443,80埠)

檢視程序可以使用ps命令結合aux,grep選項檢視linux系統下的程序資訊,還可以使用top命令檢視是否有挖礦,木馬病毒占用大量的系統資源

linux下的計畫任務也需要排查,一般在linux下的任務計畫檔案是以cron開頭的,linux系統中可以使用crontab命令進行計畫任務的設定,例如-l是列出當前使用者的計畫任務

-d是刪除計畫任務,-e選項是編輯計畫任務,特別要注意linux系統中未知的計畫任務。

linux系統下的/etc/init.d目錄下的檔案中存放著開機自動啟動的每個程式的目錄:

通過/etc/init.d/程式名 status命令可以檢視每個程式的狀態,排查啟動項的目的是檢查黑客在入侵伺服器後是否有在啟動項裡安裝後門程式。

異常檔案檢查是排查黑客是否有修改伺服器上的敏感目錄或檔案,如/tmp目錄下的檔案,同時注意隱藏資料夾,以「..」為名的資料夾具有隱藏屬性。

例如,假設我們知道對方上傳的webshell的建立時間,那麼我們可以縮小排查的範圍並通過find命令快速找出最近這段時間內建立的檔案,如find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前訪問過的檔案。

開啟linux shell終端我們一般會執行的常用命令,path環境變數決定了shell終端將從那些目錄載入並執行命令。

每個目錄以「 : 」符號進行分隔,例如當我們在終端輸入qq,nameshell就會解析path環境變數從/usr/local/bin目錄下找到qq程式並執行。那麼我們可以從這些目錄中檢查是否存在異常檔案或**等等。

1 web應用安全

資訊系統安全性概述 在進行軟體安全性檢測之前,首先我們應該具備一定的資訊系統安全性的知識,在我們對整體範圍的資訊系統安全性保障有一定認識的前提下,才能決定我們能更好的保障該環境下的軟體應用安全性。計算機資訊系統是由計算機及其相關的和配套的裝置 設施 含網路 構成的,按照一定的應用目標和規則對資訊進行...

安全測試1 Web知識簡介

安全測試1 web知識簡介 1 web發展階段概述 2 web安全我能提發展形勢 3 web工作流程 4 瀏覽器工作 瀏覽器 通過網域名稱訪問 dns伺服器 將網域名稱解析為ip位址 web伺服器 http協議訪問,然後返回http響應 5 url的詳細格式 6 http協議內容簡介 6 1.htt...

從一次應急響應看Linux檔案安全

事件起因很簡單,某 頁面被篡改。客戶要求也很簡單,刪除被篡改頁面。可想而知如果能簡單刪除,也不會有此次應急。系統為linux,進入後檢視檔案許可權如下 帶 號的檔案,這裡出現了第乙個linux檔案安全相關的知識點 linux檔案acl 什麼是 acl 可以簡單理解為給特定使用者或使用者組設定對於乙個...