Linux 应急响应流程及实战演练 3
0x01 入侵排查思路 4
一、账号安全 4
1、用户信息文件 /etc/passwd 4
2、影子文件 /etc/shadow 4
3、几个常用命令: 4
二、历史命令 6
1)保存 1 万条命令 6
2)在 /etc/profile 的文件尾部添加如下行数配置信息: 6
3)source /etc/profile 让配置生效 7
三、端口 7
四、进程 8
五、开机启动项 8
六、定时任务 9
1、利用 crontab 创建计划任务 9
2、利用 anacron 实现异步定时任务调度 10
七、服务 11
八、系统日志 13
1、定位有多少IP在爆破主机的 root 帐号: 13
2、登录成功的 IP 有哪些: 14
3、增加一个用户 kali 日志: 14
4、删除用户kali日志: 14
5、su 切换用户: 14
0x02 工具篇 15
一、Rootkit 查杀 15
二、病毒查杀 15
三、webshell 查杀 18
四、RPM check 检查 18
验证内容中的 8 个信息的具体内容如下: 18
如果命令被替换了,如果还原回来: 19
0x03 应急响应实战之 SSH 暴力破解 19
A、系统账号情况 21
1、除 root 之外,是否还有其它特权用户 (uid 为 0) 21
2、可以远程登录的帐号信息 21
B、确认攻击情况: 22
1、统计了下日志,发现大约有 126254 次登录失败的记录,确认服务器遭受暴力破解 22
2、输出登录爆破的第一行和最后一行,确认爆破时间范围: 22
3、进一步定位有哪些 IP 在爆破? 22
4、爆破用户名字典都有哪些? 22
C、管理员最近登录情况: 23
1、登录成功的日期、用户名、IP: 23
2、顺便统计一下登录成功的 IP 有哪些: 23
0x04 应急响应实战之短连接 24
0x05 应急响应实战之挖矿病毒 27
C、清除病毒 29
1、删除定时任务: 29
2、终止异常进程: 30
D、漏洞修复 30
0x06 应急响应实战之盖茨木马 31
异常进程: 32
异常启动项 32
搜索病毒原体 33
手动清除木马过程: 34
1、简单判断有无木马 34
2、上传如下命令到 /root 下 34
3、删除如下目录及文件 34
4、找出异常程序并杀死 35
5、删除含木马命令并重新安装 35
命令替换: 36
文件提取还原案例: 37