Linux应急响应
作者:互联网
Linux应急响应
账号
cat /etc/passwd
root: x:0:0:root:/root:/bin/bash
用户名:密码:用户ID:组ID:用户说明:用户目录:shell
cat /etc/shadow
root:
6
6
6oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
用户名:密码:密码修改时间:密码修改间隔:有效期:密码到期天数:密码到期告警天数:
who //查看当前登录用户
w //查看系统信息,某一时刻的用户行为
uptime //查看登录时长,登录多少用户,负载
入侵排查
查看特权用户(uid=0)
awk -F: '$3==0{print $1}' /etc/passwd
查询可以远程登录的账号信息
awk '/\$1|\$6/{print $1}' /etc/shadow
查询是否存在除root账户外的sudo账号
more /etc/sudoers |grep -v "^#\|^$" | grep "ALL=(ALL)"
删除账户
usermod -L username //禁用用户
userdel username //删除用户
userdel -r username //删除用户并删除用户目录
历史命令
history
进程
netstat -antlp | more //查看可疑进程
ls -l /proc/$pid/exe或者file //查看对应进程的文件路径
ps -aux | grep $pid //查找可疑pid的进程
定时任务
crontab -l //列出某个用户的定时任务
crontab -r //删除所有定时任务
crontab -e //使用编辑器编辑定时任务
* * * * * command //分,时,日,月,周,命令
重点关注目录
/var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*
查看日志
/var/log //日志默认路径
| 日志路径 | /var/log/cron |
|/var/log/cron|记录系统定时任务日志|
| /var/log/cpus |记录系统在开机时的内核自检 |
| 日志路径 | /var/log/cron |
|---|---|
| /var/log/cron | 记录系统定时任务日志 |
| /var/log/cpus | 记录系统开机的内核自检 |
| /var/log/maillog | 记录邮件信息 |
| /var/log/message | 记录系统重要信息,出事首先看这个 |
| /var/log/btmp | 记录错误登录日志,这是二进制文件,要用lastb命令 |
| /var/log/lastlog | 记录系统最后一次登录时间,同上 |
| /var/log/wtmp | 记录所有用户的登录,注销和系统启动,重启,关机的信息。要用last命令查看 |
| /var/log/utmp | 记录已经登录的用户信息,用w命令 |
| /var/log/secure | 记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中 |
日志分析技巧
- 查看有多少个IP在爆破root
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
- 查看有多少个IP在爆破
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
- 查看登录成功的IP
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
- 登录成功的日期,用户名,IP
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
工具使用
Rootkit查杀
- chkrootkit
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz
cd chkrootkit-0.52
make sense
#编译完成没有报错的话执行检查
./chkrootkit
- rkhunter
Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz
tar -zxvf rkhunter-1.4.4.tar.gz
cd rkhunter-1.4.4
./installer.sh --install
rkhunter -c
病毒查杀
- Clamav
#安装
yum install -y clamav
#更新病毒库
freshclam
#扫描方法
clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log
clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log
clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log
#扫描并杀毒
clamscan -r --remove /usr/bin/bsd-port
clamscan -r --remove /usr/bin/
clamscan -r --remove /usr/local/zabbix/sbin
#查看日志发现
cat /root/usrclamav.log |grep FOUND
1、安装zlib:
wget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz
tar -zxvf zlib-1.2.7.tar.gz
cd zlib-1.2.7
#安装一下gcc编译环境: yum install gcc
CFLAGS="-O3 -fPIC" ./configure --prefix= /usr/local/zlib/
make && make install
2、添加用户组clamav和组成员clamav:
groupadd clamav
useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav
3、安装Clamav
tar –zxvf clamav-0.97.6.tar.gz
cd clamav-0.97.6
./configure --prefix=/opt/clamav --disable-clamav -with-zlib=/usr/local/zlib
make
make install
4、配置Clamav
mkdir /opt/clamav/logs
mkdir /opt/clamav/updata
touch /opt/clamav/logs/freshclam.log
touch /opt/clamav/logs/clamd.log
cd /opt/clamav/logs
chown clamav:clamav clamd.log
chown clamav:clamav freshclam.log
5、ClamAV 使用:
/opt/clamav/bin/freshclam 升级病毒库
./clamscan –h 查看相应的帮助信息
./clamscan -r /home 扫描所有用户的主目录就使用
./clamscan -r --bell -i /bin 扫描bin目录并且显示有问题的文件的扫描结果
Linux检查脚本
https://github.com/grayddq/GScan
https://github.com/ppabc/security_check
https://github.com/T0xst/linux
标签:log,etc,--,clamav,响应,Linux,var,应急,root 来源: https://blog.csdn.net/HLJinFFF/article/details/115380809