识字粗堪供赋役,不须辛苦慕公卿。这篇文章主要讲述记一些linux安全应急排查思路和命令相关的知识,希望能为你提供帮助。
都是蓝队一些很常用的应急排查命令
防守排查基本流程1. 查看日志以及防守设备的日志,看看入侵情况(/在探测(是否有风险)/已经入侵成功) 探测中有风险就直接??ban ip?
?2. 进来的话看日志判断动了哪些资源 判断目的 提交报告 隔离服务环境 看payload
判断漏洞位置 清理shell 及时修复 及时提交报告
3. 根据入侵者ip 做一些溯源 比如威胁感知平台查查有些入侵者如果使用自己的vps ,看看上面是否有blog
服务 有blog
就可以进行找
4. 搞进来了可以不立马杀死 投放诱饵文件 尝试反杀入侵者 根据入侵者特征(浏览器 os版本如果有洞就反杀) 尽管反杀不了,只要写成报告 提交 也能拿不少加分
查看系统状态
top命令(常用于挖矿应急响应)
文章图片
查看非root运行的进程
ps -U root -u root -N
查看root运行的进程 ps -u root
查看有没有奇怪进程
ps -aef| grep inetd
检测隐藏进程
ps -ef | awk print | sort -n | uniq > 1
ls /proc | sort -n | uniq > 2
检测系统守护进程
ls /etc/crontab
查看当前登陆
用户命令
who
查看系统信息 想知道某一时刻用户的行为
w
查看当前登陆用户的ip信息
who -m
文章图片
查看近期用户登陆情况
文章图片
history 5查看历史命令
查看进程树是否所有异常进程存在一个父进程 判断进程的父子关系
netstat 查看网络状态 列出本机所有连接和接听的接口
netstat -anp
lsof -i udp
lsof -i tcp
文件排查命令
whereis filename
ls -la查看包含隐藏文件的
ls -al 查看文件创建时间
查找最近24小时内修改过的文件
find ./ -mtime 0
tar 命令(tar命令在ctf线下也比较常见,所以我简单总结下)
tar -cvf backup_log.tar ./*.log打包当前目录所有log文件
然后?
?tar -xvf backup_log.tar?
? 解压?
?tar -cvf?
?文件名
然后目录文章图片
【记一些linux安全应急排查思路和命令】解压也是 ?
?tar -xvf?
? 文件名推荐阅读
- 《动手学ROS2》10.2 Gazebo仿真环境准备
- 章节介绍 机器人导航NAV2
- linux的crontab自动定时执行
- 大容量高性能,国家级实验室分布式并行文件存储实践
- 《动手学ROS2》9.6拓展:为Fishbot添加超声波传感器
- 端口常用命令
- flutter系列之:构建Widget的上下文环境BuildContext详解
- [linux] rm -rf删除软链接无权限()
- 正解TP/FP/TN/FN评价指标