扫码领贵寓【GHAT-131】5男7女！奔放すぎる大家族 春の2時間スペシャル

获网安教程

图片

共享者才是学习中最大的受益者！

著作起原: https://forum.butian.net/share/813著作作家：略微略如有侵权请您琢磨咱们，咱们会进行删除并致歉序论身为又名收集安全从业者，很表现安全老是相对的，再安全的处事器也有可能遭逢到舛错，除了按时的备份数据外，还需按时对处事器进行安全检讨，在骨子的安全和运维责任中，应该在收集和系统被舛错之前，作念好充分的准备，能力在收集被舛错时巧合安稳的搪塞。入侵排查经由账号安全基本使用/etc/passwd用户信息文献

图片

对应关系:

用户名:密码:用户ID:组ID:用户讲解:家目次:登陆之后shell

注:无密码只允许本机登陆，汉典不允许登陆/etc/shadow影子文献

图片

对应关系:用户名:加密密码:密码临了一次修翌日历:两次密码的修改时辰隔断:密码有用期:密码修改到期到的告诫天数:密码过时之后的脱期天数:账号失效时辰:保留who检察现时登托福户注：tty土产货登陆、pts汉典登录

图片

w检察系统信息

图片

uptime检察登陆多久、几许用户，负载

图片

入侵排查1、查询特权用户特权用户(uid为0)

[root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd

图片

2、查询不错汉典登录的帐号信息[root@localhost ~]# awk '/\$1|\$6/{print $1}' /etc/shadow

图片

3、其他帐号是否存在sudo权限。注：如非料理需要，除root帐番外，普通帐号应删除sudo权限

[root@localhost ~]# more /etc/sudoers | grep -v '^#\|^$' | grep 'ALL=(ALL)'

4、禁用或删除裕如及可疑的帐号usermod -L user 禁用帐号，帐号无法登录，/etc/shadow第二栏为!发轫 userdel user 删除user用户 userdel -r user 将删除user用户，而况将/home目次下的user目次一并删除历史大叫基本使用：1.检察帐号扩充过的系统大叫通过.bash_history

root的历史大叫:histroy 掀开/home各帐号目次下的.bash_history，检察普通帐号的历史大叫

图片

图片

2.加多成立历史的大叫加多登录的IP地址、扩充大叫时辰等信息：保存1万条大叫sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile在/etc/profile的文献尾部添加如下行数设置信息：

####historyUSER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'` if [ '$USER_IP' = '' ] then USER_IP=`hostname` fiexport HISTTIMEFORMAT='%F %T $USER_IP `whoami` ' shopt -s histappend export PROMPT_COMMAND='history -a'

图片

source /etc/profile让设置奏凯生成效用：1 2021-010-22 19:45:39 192.168.1.1 root source /etc/profile3、历史操作大叫的废除 问题使用大叫：history -c但此大叫并不会废除保存在文献中的记载，因此需要手动删除.bash_profile文献中的记载。入侵排查干预用户目次下

cat /home/用户/.bash_history >> history.txt

可疑端口使用netstat 收集同一大叫，分析可疑端口、IP、PIDnetstat -antlp | more

图片

检察下pid所对应的程度文献旅途， 启动

ls -l /proc/$PID/exe或file /proc/$PID/exe

可疑程度使用ps大叫，分析程度ps aux | grep pid

图片

开机启动项基本使用系统启动级别暗示图：

图片

检察启动级别大叫使用大叫：runlevel

图片

系统默许允许级别

vi /etc/inittab id=3:initdefault 系统开机后顺利干预哪个启动级别

开机启动设置文献/etc/rc.local /etc/rc.d/rc[0~6].d例子:当咱们需要开机启动我方的剧本时，只需要将可扩充剧本丢在/etc/init.d目次下，然后在/etc/rc.d/rc*.d中栽种软结合即可

root@localhost ~]# ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100ssh对应关系sshd:具体处事的剧本文献S100ssh:软结合，S发轫代表加载时自启动，若是是K发轫的剧本文献，代表启动级别加载时需要关闭的。

入侵排查检察启动项文献：more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d/定时任务基本使用crontab诓骗crontab创建磋磨任务基本大叫

crontab -l:列出某个用户cron处事的预防内容Tips:默许编写的crontab文献会保存在:/var/spool/cron/用户名 举例: /var/spool/cron/rootcrontab -r:删除每个用户cront任务(严慎：删除总共的磋磨任务)crontab -e:使用裁剪器裁剪现时的crontab文献

anacron诓骗anacron达成异步定时任务调遣使用案例，每天启动 /home/backup.sh剧本：vi /etc/anacrontab @daily 10 example.daily /bin/bash /home/backup.sh当机器在 backup.sh 欲望被启动时是关机的，anacron会在机器开机相配钟之后启动它，而毋庸再恭候 7天。入侵排查要点关心以下目次中是否存在坏心剧本

/etc/crontab /etc/cron.d/* /etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/* /etc/cron.weekly/ /etc/anacrontab /var/spool/anacron/*

Tips:more /etc/cron.daily/* 检察目次下总共文献

图片

处事基本使用处事自启动第一种修改要领：问题 chkconfig装置

chkconfig [--level 启动级别] [孤立处事名] [on|off] chkconfig –level 2345 httpd on 开启自启动 chkconfig httpd on (默许level是2345)

第二种修改要领：修改/etc/re.d/rc.local 文献 加入 /etc/init.d/httpd start第三种修改要领：使用ntsysv大叫料理自启动，不错料理孤立处事和xinetd处事入侵排查查询已装置的处事：RPM包装置的处事

chkconfig --list #检察处事自启动情景，不错看到总共的RPM包装置的处事 ps aux | grep crond#检察现时处事 系统在3与5级别下的启动项 汉文环境 chkconfig --list | grep '3:启用\|5:启用' 英文环境 chkconfig --list | grep '3:on\|5:on'

源码包装置的处事检察处事装置位置，一般是在/user/local/ service httpd start 搜索/etc/rc.d/init.d/，检察是否存在系统日记基本使用日记默许存放位置：/var/log/检察日记设置情况：vi /etc/rsyslog.conf

图片

婷婷第四色日记文献讲解

图片

日记分析序论日记默许存放位置：/var/log/检察日记设置情况：vi /etc/rsyslog.conf

图片

日记文献对应的讲解

图片

/var/log/secure

1、定位有几许IP在爆破主机的root帐号：grep 'Failed password for root' /var/log/secure | awk '{print $11}' | sort | uniq -c | sort - nr | more 定位有哪些IP在爆破:grep 'Failed password' /var/log/secure|grep -E -o '(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\. (25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)'|uniq -c 爆破用户名字典是什么？grep 'Failed password' /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print '$1\n';}'|uniq -c|sort -nr 2、登录到手的IP有哪些：grep 'Accepted ' /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more登录到手的日历、用户名、IP：grep 'Accepted ' /var/log/secure | awk '{print $1，$2，$3，$9，$11}' 3、加多一个用户kali日记：Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali， GID=1001 Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali， UID=1001，GID=1001，home=/home/kali，shell=/bin/bash Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali #grep 'useradd' /var/log/secure 4、删除用户kali日记：Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali' Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali' Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali' # grep 'userdel' /var/log/secure 5、su切换用户:Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0) sudo授权扩充: sudo -l Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now

/var/log/yum.log软件装置升级卸载日记：yum install gcc [root@bogon ~]# more /var/log/yum.log Jul 10 00:18:23 Updated: cpp-4.8.5-28.el7_5.1.x86_64 Jul 10 00:18:24 Updated: libgcc-4.8.5-28.el7_5.1.x86_64 Jul 10 00:18:24 Updated: libgomp-4.8.5-28.el7_5.1.x86_64 Jul 10 00:18:28 Updated: gcc-4.8.5-28.el7_5.1.x86_64 Jul 10 00:18:28 Updated: libgcc-4.8.5-28.el7_5.1.i686挖矿事件1.得回极端程度pidCPU占用

top -c -o %CPU

图片

CPU占用前5的程度信息ps -eo pid，ppid，%mem，%cpu，cmd --sort=-%cpu | head -n 5

图片

内存占用

top -c -o %MEM

图片

内存占用前5的程度信息ps -eo pid，ppid，%mem，%cpu，cmd --sort=-%mem | head -n 5

图片

收集占用装置nethogs

apt-get install nethogs

然后以root权限启动nethogs即可2.寻找坏心文献样本程度名字或者部分字符串得回pidpidof 'name'ps -aux | grep 'name'ps -ef | grep 'name' | grep -v grep | awk '{print $2}'pgrep -f 'name'pid得回设施的预防信息

lsof -p pidpwdx pid #得回该pid的程度启动的时候的目次，并不一定是坏心文献场合的旅途，仅仅启动坏心文献的旅途systemctl status pid #得回这个程度的 status信息cat /proc/pid/mapsls -al /proc/pid/exe

pid检察由程度起的线程ps H -T -p pidps -Lf pidtop -H -p pid -H#-H:选项不错涌现线程htop#较为全面的展示线程，默许未装置pstree -acU#保举，全面展示程度与线程间的关系注：SPID便是线程ID，而CMD栏则涌现了线程称呼

图片

3.处理极端程度坏心文献样本采样

scp -P 4588 remote@www.xxx.com:/usr/local/a /home/kali

注：-P：指定SSH端口从汉典处事器将a下载到土产货的/home/kali程度查杀程度有子程度ps ajfxsystemctl status程度无子程度

kill -9 pid

这么会顺利杀死指定程度，然而，由这个程度产生的子程度不会被杀死杀掉这个程度组kill -9 -pid防守程度挖矿病毒为了保险挖矿设施的启动，等闲会为挖矿设施成立防守程度，杀死防守程度与杀死普通程度并无辨认线程查杀好多木马病毒将坏心代码扩充作念到了线程级别，也便是说附到了现存平常业务的程度中，作念一个线程，当今查杀一个程度中的线程风险相比大，极可能会把程度搞崩掉，需要与客户阐述好再进行，杀死线程的要领和杀死程度同样pid检察由程度起的线程

ps -T -p pidps -aLf pid

检察一齐线程ps -eLFa4.删除坏心文献通过程度pid以及/proc/咱们也曾定位到了文献的具体位置，接下来便是删除坏心文献检察文献占用

lsof eval.sh

a和i属性导致文献不可删除a属性文献：只可加多内容，不成修改之前的文献，不成删除文献i属性文献：内容不成更动，文献不成删除不错使用 chattr -a和 chattr -i案例分析SSH装潢登录ssh -T root@192.168.1.1 /usr/bin/bash -i分析上头这条大叫在日常浸透中，是红队的小伙伴进行登录操作会等闲使用因为这条大叫它不分拨伪末端的方式而不会被w和lastlog等大叫记载是以在某些时候，若是防御方在上机排查时，仅检察日记发现莫得极端登录，却莫得注重到是否存在极端收集同一时，就会判断为误报，给舛错者可乘之机处理唯有同一SSH端口就一定存在记载不错从

lsof -i 22

ss -nt这两条大叫收尾中发现了同一处事器的坏心IP地址惯性密码分析

aaRedis63090329

像这个密码，不难忖度密码为前后缀固定形式，中间四位为本机端标语，然后再行组合登录，会有很大的风险处理密码复杂化和不可捉摸性pid查询失败分析有些时候，咱们无法通过top、ps大叫检察程度pid可能是舛错者将/proc/pid/进行了袒护袒护要领mkdir .hiddenmount -o bind .hidden /proc/PID处理这个时候，咱们不错检察挂载信息

cat /proc/$$/mountinfo

文献删除分析有时候，奇怪的文献名导致文献不可删除从Windows向 Linux传输的文献或者舛错者坏心制造的文献，好多会有文献名乱码，无法顺利通过乱码的文献名进行删除处理使用 inode进行删除检察 inodels -li xxx.sh删除文献

find ./* -inum inode -deletefind ./ -inum inode -exec rm {} \;find ./* -inum inode -exec rm -i {} \;(会有步阐述是否删除)find ./* -inum inode -exec rm -f {} \;(强制删除)find ./* -inum inode |xargs rm -frm `find ./* -inum inode`

回来不共事件有不同的角度行止理问题，一次事件可能包含多种类型的事件但愿不错帮到列位师父！

声明：⽂中所波及的本事、念念路和⼯具仅供以安全为⽬的的学习调换使⽤，任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的【GHAT-131】5男7女！奔放すぎる大家族 春の2時間スペシャル，不然后果⾃⾏承担。总共浸透王人需得回授权！

本站仅提供存储处事，总共内容均由用户发布，如发现存害或侵权内容，请点击举报。