linux常用命令
常見日誌的位置以及分析方法
熟悉常規黑客的攻擊手法
常規安全事件的處置思路
find / -name *.jspfind -type f -mtime -3find -type f -ctime -3grep -nv 'root' /etc/passwdgrep -nr root /grep -nr -v "404" ./ | grep -e "\.jsp | \.jspx" | morehead /etc/passwdtail -f 檔名awk -f " " '' access.log| sort|uniq -c|sort -nr
檢視某個使用者啟動了什麼程序
lsof -u rootlsof -i:8080lastblastloglastcrontab -lnetstat -anpps -ef
ps -aux
topstat登陸使用者---連線方式---時間
安全日誌 /var/log/secure
作用:安全日誌secure包含驗證和授權方面資訊
分析:是否有ip爆破成功
使用者資訊 /etc/passwd
內容含義:註冊名、口令、使用者標識號、組標識號、使用者名稱、使用者主目錄、命令解釋程式
分析:是否存在攻擊者建立的惡意使用者
命令執行記錄 ~/.bash_history
作用:命令執行記錄 ~/.bash_history
分析:是否有賬戶執行過惡意作業系統命令
root郵箱 /var/spool/mail/root
中介軟體日誌(web日誌access_log)
nginx、apache、tomcat、jboss、weblogic、websphere
作用:記錄訪問資訊
分析:請求次數過大,訪問敏感路徑的ip
位置:/var/log下 access.log檔案(apache預設位置)
位置:/var/log/nginx下 access名稱日誌(nginx日誌位置)
位置:tomcat、weblogic等日誌均存放在安裝路徑下logs檔案下
訪問日誌結構:訪問ip---時間---請求方式---請求路徑---請求協議----請求狀態---位元組數
登陸日誌(可直接使用命令調取該資訊,對應命令last/lastb)
位置:/var/log/wtmp #成功連線的ip資訊
位置:/var/log/btmp #連線失敗的ip資訊
cron(定製任務日誌)日誌
位置:/var/log/cron
作用:檢視歷史計畫任務(對該檔案進行分析調取惡意病毒執行的計畫任務,獲取準確時間)
history日誌
位置:~/.bash_history
作用:操作命令記錄,可篩查攻擊者執行命令資訊
其他日誌
redis、sql server、mysql、oracle等
作用:記錄訪問資訊
分析:敏感操作
找到webshell-->確定攻擊者ip-->回溯攻擊者操作-->梳理整個攻擊過程
1、檔案內容中的惡意函式
php:eval(、system(、assert(
jsp:getruntime(、 fileoutputstream(
asp:eval(、execute(、 executeglobal(
darkblade:goaction=login
jspspy:o=login
phpspy:action=phpinfo
regeorg:cmd=connect
other:cmd=
4、每天新增的動態指令碼檔案
5、低頻訪問的指令碼檔案
Linux應急響應
檢視登入歷史記錄 last aulast 檢視所有 戶的最後登入記錄 aulastlog 檢視命令歷史記錄 history cat bash history 檢視當前可登入的 戶列表 cat etc passwd grep v s grep e v sbin nologin bin sync sbi...
Linux 應急響應基礎
0x01 技能樹 0x02 linux 常用命令 find name jsp find type f mtime 3 find type f ctime 3 grep nv root etc passwd grep nr root grep nr v 404 grep e jsp jspx more...
Linux應急響應基礎
伺服器被攻擊,或多或少都會有相對應的症狀,例如 挖礦病毒,cpu利用率公升高,記憶體佔用率增加,出現異常程序,伺服器響應速度變慢等等。根據病毒傳播傳播途徑,對系統進行加固,防止再次感染。通過.bash history檢視帳號執行過的系統命令 root的歷史命令 histroy 開啟 home各帳號目...