系统相关
首页 > 系统相关> > Linux应急响应

Linux应急响应

作者:互联网

Linux应急响应

账号

cat /etc/passwd

root: x:0:0:root:/root:/bin/bash
用户名:密码:用户ID:组ID:用户说明:用户目录:shell

cat /etc/shadow

root: 6 6 6oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
用户名:密码:密码修改时间:密码修改间隔:有效期:密码到期天数:密码到期告警天数:

who     //查看当前登录用户
w      //查看系统信息,某一时刻的用户行为
uptime      //查看登录时长,登录多少用户,负载

入侵排查

查看特权用户(uid=0)

awk -F: '$3==0{print $1}' /etc/passwd

查询可以远程登录的账号信息

awk '/\$1|\$6/{print $1}' /etc/shadow

查询是否存在除root账户外的sudo账号

more /etc/sudoers |grep -v "^#\|^$" | grep "ALL=(ALL)"

删除账户

usermod -L username       //禁用用户
userdel username          //删除用户
userdel -r username       //删除用户并删除用户目录

历史命令

history

进程

netstat -antlp | more           //查看可疑进程
ls -l /proc/$pid/exe或者file    //查看对应进程的文件路径
ps -aux | grep $pid            //查找可疑pid的进程

定时任务

crontab -l                     //列出某个用户的定时任务
crontab -r                     //删除所有定时任务
crontab -e                     //使用编辑器编辑定时任务
* * * * * command              //分,时,日,月,周,命令
重点关注目录
/var/spool/cron/* 
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/* 
/etc/cron.hourly/* 
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*

查看日志

/var/log          //日志默认路径

| 日志路径 | /var/log/cron |
|/var/log/cron|记录系统定时任务日志|
| /var/log/cpus |记录系统在开机时的内核自检 |

日志路径/var/log/cron
/var/log/cron记录系统定时任务日志
/var/log/cpus记录系统开机的内核自检
/var/log/maillog记录邮件信息
/var/log/message记录系统重要信息,出事首先看这个
/var/log/btmp记录错误登录日志,这是二进制文件,要用lastb命令
/var/log/lastlog记录系统最后一次登录时间,同上
/var/log/wtmp记录所有用户的登录,注销和系统启动,重启,关机的信息。要用last命令查看
/var/log/utmp记录已经登录的用户信息,用w命令
/var/log/secure记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中

日志分析技巧

  1. 查看有多少个IP在爆破root
 grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
  1. 查看有多少个IP在爆破
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
  1. 查看登录成功的IP
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
  1. 登录成功的日期,用户名,IP
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

工具使用

Rootkit查杀

  1. chkrootkit
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz
cd chkrootkit-0.52
make sense
#编译完成没有报错的话执行检查
./chkrootkit
  1. rkhunter
Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz
tar -zxvf rkhunter-1.4.4.tar.gz
cd rkhunter-1.4.4
./installer.sh --install
rkhunter -c

病毒查杀

  1. Clamav
#安装
yum install -y clamav
#更新病毒库
freshclam
#扫描方法
clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log
clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log
clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log
#扫描并杀毒
clamscan -r  --remove  /usr/bin/bsd-port
clamscan -r  --remove  /usr/bin/
clamscan -r --remove  /usr/local/zabbix/sbin
#查看日志发现
cat /root/usrclamav.log |grep FOUND
1、安装zlib:
wget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz 
tar -zxvf  zlib-1.2.7.tar.gz
cd zlib-1.2.7
#安装一下gcc编译环境: yum install gcc
CFLAGS="-O3 -fPIC" ./configure --prefix= /usr/local/zlib/
make && make install

2、添加用户组clamav和组成员clamav:
groupadd clamav
useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav

3、安装Clamav
tar –zxvf clamav-0.97.6.tar.gz
cd clamav-0.97.6
./configure --prefix=/opt/clamav --disable-clamav -with-zlib=/usr/local/zlib
make
make install

4、配置Clamav
mkdir /opt/clamav/logs
mkdir /opt/clamav/updata
touch /opt/clamav/logs/freshclam.log
touch /opt/clamav/logs/clamd.log
cd /opt/clamav/logs
chown clamav:clamav clamd.log
chown clamav:clamav freshclam.log

5、ClamAV 使用:
 /opt/clamav/bin/freshclam 升级病毒库
./clamscan –h 查看相应的帮助信息
./clamscan -r /home  扫描所有用户的主目录就使用
./clamscan -r --bell -i /bin  扫描bin目录并且显示有问题的文件的扫描结果

Linux检查脚本

https://github.com/grayddq/GScan

https://github.com/ppabc/security_check

https://github.com/T0xst/linux

标签:log,etc,--,clamav,响应,Linux,var,应急,root
来源: https://blog.csdn.net/HLJinFFF/article/details/115380809