2024网络信息安全应急响应Linux应急手册

应急响应培训Linux应急我们要做什么目录contentsLinux检查工具2Linux手工检查项1手工检查项总结1、系统检查项1、查看系统版本：lsb_release

-a

//适用所有Linux发行版(RedHat、SUSE、Debian…)cat/etc/issue

//适用所有Linux发行版cat/etc/redhat-release

//适用Redhat系的Linuxcat/etc/os-release2、查看系统内核版本：1）cat/proc/version2）uname

-a2、账号检查项1、用户信息文件/etc/passwdroot:x:0:0:root:/root:/bin/bash用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后shell注:

超级用户ID=0，普通用户ID=500-，伪用户ID=1-4992、/etc/shadow3、/etc/sudoers除root帐号外，其他帐号是否存在sudo权限。如非管理需要，普通帐号应删除sudo权限。账号检查项last #显示所有用户最近登陆信息，默认读取/var/log/wtmp日志文件。格式：用户名

终端(pts/tty)登陆IP/内核

星期月日开始时间-结束时间

持续时间lastlog

#显示所有用户最近一次登陆信息，默认读取/var/log/lastlog日志文件。格式：用户名

终端

登陆IP

最后登陆时间账号检查项3)

lastb #显示登录系统失败的用户信息，默认读取/var/log/btmp日志文件格式：用户名

终端

尝试IP

星期月日开始时间-结束时间

持续时间3、操作历史检查项1、root的历史命令history[root@localhost~]#history

>>history.txt2、/home下各帐号目录的.bash_history，查看普通帐号的历史命令[root@localhost~]#less

/home/xxx/.bash_history4、网络检查项netstat–antlp|

moreWEB服务：80、443、8080系统服务：21、22、23DB服务：3306、1521、63795、进程检查项用top命令查看资源(cpu/mem)占用率，并按C键通过占用率排序进程检查项1、psaux|

grep$pid|

grep-vgrep字段：用户,进程ID,CPU使用比,内存使用比,虚拟内存,固定内存,状态,启动时间,使用时间,命令2、ps

-ef字段：用户,进程ID,父进程ID,CPU使用率,系统启动时间,终端,CPU使用时间,CMD进程检查项3、用lsof命令，查找进程路径lsof-i:1677 查看指定端口对应的程序lsof-p

1234 检查pid号为1234进程调用情况4、用ls命令查看下pid所对应的进程文件路径：ls-l

/proc/$PID/exe或file/proc/$PID/exe($PID为对应进程号)6、开机启动检查项启动项排查：ls

-alt

/etc/init.d/ //查看常规启动项ls

-alt

/etc/rc[0~6].d //查看其他运行级别的启动项ls

-alt

/etc/rc.d/rc[0~6].d//rc[0~6].d中0~6

代表运行级别chkconfig–list7、定时任务检查项1、查看是否有可疑任务：crontab–l或cat/etc/crontab

或more/etc/crontab2、查询用户的任务：crontab-uroot–l定时任务检查项MinuteHourDayMonthWeek

command分钟

小时

天

月

星期

命令0-59 0-231-311-120-6

command定时任务检查项其他定时任务目录文件：/etc/cron.d/* //存放系统级任务的任务文件/etc/cron.hourly/* //存放每小时任务/etc/cron.daily/* //存放每日任务/etc/cron.weekly/* //存放每周任务/etc/cron.monthly/* //存放每月任务/etc/anacrontab //存放系统级的任务/var/spool/cron/* //放各个用户的任务文件计划任务的日志：/var/log/cron*8、服务检查项chkconfig

--list

查看服务自启动状态，可以看到所有的RPM包安装的服务psaux|

grep

crond

查看当前服务9、异常文件检查项查看指定目录文件：

ls

/

-alt 或ls-alt|head-n

10查找777的权限的文件：

find

/

*

-perm777

或ls–l

/查找隐藏文件：

ls

–a

/异常文件检查项查找访问的文件：find/root/-atimen //n表示n天之前的“一天之内”被访问过的文件find

/root/-atime+n //列出在n天之前（不包含n天本身）被访问过的文件find/root/

-atime-n //列出在n天之内（包含n天本身）被访问过的文件查找2天内新增的文件：

find

/root/

-ctime

-2//新增文件10、系统日志检查项1、常见日志文件：/var/log/wtmp 记录所有用户最近登陆信息，用last命令查看/var/log/lastlog 记录用户最后一次登录的信息，用lastlog命令查看/var/log/btmp 记录登录系统失败的用户信息，用lastb命令查看/var/log/utmp 记录当前正登录的用户及其执行信息，用who或w命令查看/var/log/message

记录系统重要信息(异常错误等)信息/var/log/secure记录安全相关:验证授权,账号密码信息，如ssh登陆su切换sudo授权/var/log/cron 记录定时任务执行相关的日志信息/var/log/auth.log包含系统授权信息，包括用户登录和使用的权限机制等/var/log/userlog

记录所有等级用户信息的日志系统日志检查项系统日志检查项查看登录成功的信息：cat

/var/log/secure查看登录成功的IP：grep"Accepted"/var/log/secure|awk'{print$11}'|sort|uniq-c|sort-nr|moregrep"Accepted"/var/log/auth.log|awk'{print$11}'|sort|uniq-c|sort-nr|

more11、防火墙检查项查看本机关于IPTABLES的设置情况:

iptables-L

–n12、安装包检查项校验所有的RPM软件包,查找丢失的文件:rpm

-Va病毒后门查杀检查项后门排查：Chkrootkit：

/Magentron/chkrootkit

Rkhunter：/installation/rkhunter

LnuxCheck：/al0ne/LinuxCheck手工检查项总结目录contentsLinux手工检查项我们要做什么Linux检查工具121Linux

检查工具whohk：进程\网络\启动项\用户等下载：/heikanet/whohk河马：webshell查杀简介：拥有海量webshell样本和自主查杀技术，采用传统特征+云端大数据双引擎的查杀技术。查杀速度快、精度高、误报低。兼容性：支持Windows、linux，支持在线查杀。地址：https:///河马：webshell查杀河马：webshell查杀河马：webshell查杀360星图：日志分析介绍：360星图：360旗下开拓的站点日记分析工具，使用360站点卫士中心数据分析模块，云+端联动分析，转变为全新的Web日记分析系统，