应急响应-linux

### 信息收集

~~~
uname -a 查看系统版本,内核版本
netsat -antp 查看本机开放端口信息
cat /etc/passwd 查看本机账户 | grep “/bin”
用户名：密码：用户D:组ID:用户说明：家目录：登陆之后shell
top 查看cpu等信息
ps 查看进程
who 查看当前登录用户(tty本地登录 pts远程登录)
W 查看系统信息，想知道某一时刻用户的行为
last 查询当前已经登录和过去登录的用户信息
lastlog 查看系统中所有用户的最后一次登录时间、登录端口和来源P
~~~

面试题=>如何通过pid定位到真实的恶意程序/进而找到文件/文件夹

### 判断可疑用户

~~~
判断账号是否有添加新的用户
cat /etc/passwd
用户名：密码：用户D:组ID:用户说明：家目录：登陆之后shell
cat /etc/shadow
注意：无密码只允许本机登陆，远程不允许登陆
~~~

### 禁用/删除用户

~~~
1.查询管理员权限用户
awk -F: ‘$3==0{print $1}’ /etc/passwd

2.查询可以远程登录的用户
awk ‘/\$1|\$6/{print $1}’ /etc/shadow

3.是否有权限错误配置的用户:
sudo cat /etc/sudoers | grep -v “^#” | tr -s ‘\n’

cat /etc/passwd |grep “0”
~~~

### 账号禁用

~~~
usermod -L 用户名 禁用帐号，帐号无法登录，/etc/shadow第二栏为!开头

userdel 用户名 删除user用户

userdel -r 用户名 将删除user用户，并且将/home目录下的user目录一并删除.

usermod -U 用户名
~~~

### 查看历史命令

~~~
root账户历史命令查看
history

打开/home各个账号目录下的.bash_history,查看普通账户的历史命令
~~~

### 查看异常端口

~~~
netstat -antlp| grep ESTABLISHED 查看开放端口

查看下pid所对应的进程文件路径
运行ls -l /proc/$pid/exe 或 file /proc/$PID/exe ($PID为对应的pid号)
find / -iname “进程软链接名”
~~~

### 查看异常进程

~~~
ps aux | grep “”
~~~

### 检查开机启动项

~~~
cat /etc/rc.local
cd etc/rc.d/rc[0~6].d
ls -alt /etc/init.d
启动项文件： more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d/

~~~

### 检查定时任务

~~~
crontab -l 列出某个用户cron服务的详细内容
Crontab –e 修改定时任务
Ps:通过使用crontab –l指令, 不会把我们下面的列出来的这些文件里面的定时任务都展示出来,但是不影响定时任务的执行.

/var/spool/cron/*
/etc/crontab(这里面的内容,不会显示在crontab中)
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*
~~~

### 检查异常任务

~~~
1、查看敏感目录，如/tmp目录下的文件，同时注意隐藏文件夹，以“..”为名的文件夹具有隐藏属性
ls -al
stat 文件名 (可看最近访问,最近更改.最近改动)

2 、得到发现WEBSHELL、远控木马的创建时间，如何找出同一时间范围内创建的文件？

Ps:可以使用find命令来查找，如 find /opt -iname “*” -atime 1 -type f 找出 /opt 文件夹下,一天前访问过的文件

3、针对可疑文件可以使用stat查看创建 修改 文件时间。
Ps: stat /usr/bin/lsof

https://blog.csdn.net/aoxue9/article/details/128701236
~~~

### linux日志查看

/var/log/secure


### linux日志排除

~~~
lastlog 系统中所有用户最近一次登录信息
lastb 用于显示用户错误的登录列表
~~~

### linux杀毒软件

~~~
Ubuntu安装Clamav
apt-get install clamav
apt-get install clamav-daemon
freshclam
systemctl restart clamav-freshclam.service

clamscan -r /home –递归扫描下面的目录

clamscan -r /home/wwwroot/ –move /home/test/ –递归扫描下面的目录,并将病毒文件移动到test目录下
~~~

### linux安全脚本

~~~
https://github.com/T0xst/linux
https://github.com/ppabc/security_check
https://github.com/MisakiKata/Linuxcheck
~~~

下载rootkit专杀工具

/bin/ => # 有效账号 (apache等中间件需注意)

可疑账号=>锁定

rootkit病毒(隐藏文件,隐藏进程)=>可篡改linux命令 用linux第三方工具箱(瑞士军刀自带命令) rookkit专杀工具