Linux应急响应之账号检查篇
文章来源:dearcloud
版权声明:本文为CSDN博主「dearcloud」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。https://blog.csdn.net/qq_42671480/java/article/details/90369909
Linux应急响应之账号检查篇
账号检查是应急响应中必不可少的一环,通过账号检查,可以了解有没有异常账号以及是否留下后门。那么,究竟需要检查哪些文件呢?
1.用户信息文件/etc/passwd
文件内容分别是:用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell
注意:无密码只允许本机登陆,远程不允许登陆
⑴查询特权用户:cat
/etc/passwd |awk -F: ‘$3==0{print $1}’
⑵查看账户中空登录口令账户:cat
/etc/shadow | awk –F: ‘length($2)==0 {print $1}’
⑶查看文件最近修改时间:
ls –l /etc/passwd
2. 影子文件 /etc/shadow
⑴查看具有远程登录权限的用户:cat /etc/shadow |egrep ‘$1|$6’|awk -F: ‘{print $1}’
⑵查看文件最近修改时间:
ls –l /etc/shadow
3.账户配置文件/etc/login.defs
login.defs详细记录了所有用户的默认配置信息,比如默认加密方式、最大使用期限等等
4.sudo权限配置文件/etc/sudoers
格式:授权用户/组
主机=[(切换到哪些用户或组)] [是否需要输入密码验证] 命令1,命令2,…
注意:第三位和第四位可以省略,第三位若不省略,必须加上括号表示第三位。省略的结果是切换到root用户。
第四位省略的结果是需要输入密码验证,若不需要输入密码,则再第四位输入NOPASSWD:
⑴.当用户执行
sudo 时,系统于 /etc/sudoers 档案中搜寻该使用者是否有执行
sudo 的权限;
⑵.若使用者具有可执行
sudo 的权限后,便让使用者输入用户自己的密码来确认;
⑶.若密码输入成功,便开始进行
sudo 后续接的指令(但 root 执行
sudo 时,不需要输入密码);
⑷.若欲切换的身份与执行者身份相同,那也不需要输入密码。
sudo 命令
-l:username的sudo权限
-u
username:以username的权限执行
-k:强迫用户下一次执行sudo时问密码(不论有无超过n分钟)
-b:后台执行
-p:修改提示符,%u,%h
-H:将HOME环境变量设为新身份的HOME环境变量
-s:执行指定的shell
-v:延长密码有效期限5分钟
查询拥有sudo权限的用户
cat /etc/sudoers |grep -v “^#”
|grep -v Defaults
5.SSH后门查询
SSH后门排查
1)比对ssh的版本
ssh -V
2)查看ssh配置文件和/usr/sbin/sshd的时间
stat /usr/sbin/sshd
3)strings检查/usr/sbin/sshd,看是否有邮箱信息
strings可以查看二进制文件中的字符串,在应急响应中是十分有用的。有些sshd后门会通过邮件发送登录信息,通过strings /usr/sbin/sshd可以查看到邮箱信息。
4)通过strace监控sshd进程读写文件的操作
一般的sshd后门都会将账户密码记录到文件,可以通过strace进程跟踪到ssh登录密码文件。
ps axu | grep sshd | grep -v grep
root 65530 0.0 0.1 48428 1260 ? Ss 13:43
0:00 /usr/sbin/sshd
strace -o aa -ff -p 65530
grep open aa* | grep -v -e No -e null -e
denied| grep WR
aa.102586:open("/tmp/ilog",
O_WRONLY|O_CREAT|O_APPEND, 0666) = 4
5)看公钥验证文件
查看是否允许密码验证cat /etc/ssh/sshd_config |grep -v ^# |grep --color PasswordAuthentication|awk
'{print $0}
查看是否允许密钥登录cat /etc/ssh/sshd_config |grep -v ^# |grep --color PubkeyAuthentication|awk
'{print $0}
公钥验证文件路径查询cat /etc/ssh/sshd_config |grep -v ^# |grep --color AuthorizedKeysFile|awk
'{print $2}
往期精选