Linux基础知识:1.事件分类常见的安全事件(一)

1. 事件分类

常见安全事件:

Web入侵:木马、篡改、系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞木马:远程控制、后门、勒索信息泄露:刷裤、数据库登录(弱密码)、网络流量:频繁发包, 批量请求, DDOS 攻击2. 排查思路

常规入侵事件后的系统故障排除思路:

1. 文件分析

a) 文件日期、新文件、可疑/异常文件、最近使用的文件、浏览器下载文件

b) 调查分析

c) 核心应用相关目录文件分析

2. 过程分析

a) 当前活动进程和远程连接

b) 启动流程和计划任务

c) 工艺工具分析

一世。:

ii. Linux:&

3. 系统信息

a) 环境变量

b) 账户信息

C)

d) 系统配置文件

4. 日志分析

a) 操作系统日志

i.: 事件查看器 ()

ii. Linux:/var/log/

b) 应用日志分析

一世。。日志

ii. 错误日志

3.分析与排查3.1 Linux系列分析与排查3.1.1 文件分析

1. 敏感目录文件解析(如/tmp目录、命令目录/usr/bin /usr/sbin)

例如:

查看tmp目录下的文件:ls -alt /tmp/

查看启动项的内容:ls -alt /etc/init.d/

查看指定目录下的文件时间顺序:ls -alt | 头-n 10

对于可疑文件,可以使用stat查看详细的创建修改时间和访问时间。如果修改时间接近事件日期,则存在线性相关,表明可能被篡改或以其他方式。

2. 新文件分析

例如,要查找 24 小时内修改过的 JSP 文件: find ./ -mtime 0 -name "*.jsp"

(最后一次修改发生在从当前时间的 n*24 小时到 (n+1)*24 小时))

查找 72 小时内添加的文件 find / -ctime -2

PS: -ctime 的内容即使在权限改变时也可以检查。

根据确定的时间冲销已更改的文件

ls -al /tmp | grep“2 月 27 日”

3. 特殊权限文件

查找权限为777的文件 find/*.jsp -perm 4777

黑客ok8官网_黑客业务网_狮王黑客数学招生业务老师文化不高

4. 隐藏文件(隐藏属性以“.”开头的文件)

5. 在文件分析过程中,经常手动检查的命令是find grep ls。核心目的是关联和推理出可疑文件。

3.1.2 进程命令

1. 使用网络连接命令分析可疑端口、可疑IP、可疑PID和程序进程

–蚂蚁| 更多的

2. 使用ps命令分析进程

ps辅助| grep pid | grep –v grep

会结合ps,可以参考vinc牛的案例:

(可以使用lsof -i:1677查看指定端口对应的程序)

3. 使用 ls 和 stat 检查系统命令是否被替换。

两种思路:一是查看命令目录的最近时间排序,二是按照确定的时间进行匹配。

ls -alt /usr/bin | 头-10

ls -al /bin /usr/bin /usr/sbin/ /sbin/ | grep“1 月 15 日”

PS:如果日期是编号的,中间需要两个空格。例如,在 1 月 1 日,grep "Jan 1"

4. 隐藏进程视图

3.1.3 系统信息

1. 查看分析(cat /root/.),之前命令操作的痕迹,以便进一步追根溯源。幸运的话,可以通过记录关联以下信息:

a) 主机的 wget 远程控制文件(域名和 IP);

b) 尝试连接内网主机(ssh scp),方便分析攻击者的意图;

c) 打包某些敏感数据或代码,tar zip 命令

d) 配置系统,包括命令修改、远程控制木马、查找攻击者的关联信息...

2. 查看和分析用户相关分析

a) 命令时间变化(stat),以及是否包含可疑信息

b) cat /etc/ 分析可疑账户,可以登录账户

查看UID为0的账号: awk -F:'{if($3==0)print $1}' /etc/

查看可以登录的账号:cat /etc/ | grep -E "/bin/bash$"

PS:UID为0的账户不一定是可疑账户。toor账号默认存在,uid为0.(toor在BSD官网上解释为root替代账号,是可信账号)

3. 查看分析任务计划

a) 使用-l查看当前任务计划以及是否有启动后门木马程序的相关信息;

b) 查看etc目录下任务计划的相关文件,ls /etc/cron*

4. 查看linux启动程序

a) 查看rc.local文件(/etc/init.d/rc.local /etc/rc.local)

b)ls –alt /etc/init.d/

C)

5. 查看系统用户登录信息

a) 使用该命令获取系统所有用户的最新登录信息。

b) 使用lastb命令显示用户错误登录列表

c) 使用last命令显示用户最近登录信息(数据源为/var/log/wtmp,var/log/btmp)

狮王黑客数学招生业务老师文化不高_黑客ok8官网_黑客业务网

utmp文件中保存的是系统当前用户的信息。

wtmp 文件保存已登录系统的用户信息。

/var/log/wtmp 的文件结构与/var/run/utmp 的文件结构相同。两者都指/usr//bits/utmp.h中的utmp

6. 系统路径分析

a) echo $PATH 分析是否有敏感和可疑信息

7. 指定信息检索

a) 在目标文件或二进制文件中查找可打印字符串的命令

b) 分析sshd 文件,是否包含IP 信息/usr/bin/.sshd | egrep'[1-9]{1,3}\.[1-9]{1,3}\.'

PS:这个规律不严谨,但是匹配IP就够了

c) 根据关键字匹配命令是否包含信息(如IP地址、时间信息、遥控信息、木马特征、代码名称)

8. 检查ssh相关目录中是否存在可疑的公钥。

a) Redis(6379)未授权恶意入侵黑客业务网,可以通过redis直接将公钥导入目标主机。

b) 目录:/etc/ssh ./.ssh/

3.1.4 后门故障排除

除了以上文档、流程和系统分析,推荐工具

(20年迭代更新)主要功能:

检查是否植入后门、木马,检查系统命令是否正常。查看登录日志以获取详细参考

系统命令()检测,包括Md5验证、本地敏感目录检测、系统配置、服务和套件异常检测、三方应用版本检测

还可以通过rpm内置的-Va来验证系统完整性,检查所有被篡改过的rpm软件包,防止rpm被替换,上传一个安全、干净、稳定的rpm二进制版本到服务器进行检查

如果一切都被正确检查,则不会产生任何输出。如果有任何不一致,它们将被显示。输出格式是一个8位长的字符串,``c用来指代配置文件,后跟文件名。每个 8 位字符用于表示文件中某个属性与 RPM 数据库中的比较结果。``. (点)表示测试通过。以下字符表示RPM软件包某项测试失败:

借用sobug文章案例:如下图所示,可以看到ps、,、sshd等关键系统进程被篡改

可以通过三种方式分析调查:文件、流量和日志。基于文件的命名特征和内容特征,相对可操作性比较高,在入侵后的应急过程中发生频率比较高。

命令可以根据特征搜索,使用方便(当然会有漏报和误报)

可以通过查杀脚本的各个版本是否存在进行排查,当然各有特点,可以用hippo shell查杀()

综上所述,可以通过RPM check、Check等方式得到以下对策:

根据程序关联的进程、连接等信息查看木马活动信息。如果系统命令(如ls等)被替换了,为了进一步排查,你需要下载一个新的或者从另一台未感染的主机复制一个新的命令。如果您发现可疑的可执行木马文件,请不要急于将其删除。首先打包备份副本。如果发现可疑的文本木马文件,使用文本工具分析其内容,包括反向链接IP地址、加密方式、关键字(以扩大整个目录的文件特征提取)等。3.< @1.5 日志分析

1. 日志查看与分析,grep、sed、sort、awk综合应用

2. 基于时间的日志管理:

/var/log/wtmp

/var/run/utmp

/var/log/()

/var/log/btmp(lastb)

3. 登录日志可以跟,和特殊关键字

4. 登录相关命令

5. 几句话

黑客业务网_狮王黑客数学招生业务老师文化不高_黑客ok8官网

3.1.6 相关处置

kill -9
chattr –i
rm
setfacl
ssh
chmod

3.2 系列分析与故障排除3.2.1 文件分析

1. 开机有没有异常文件?

2. 检查每个磁盘下的temp(tmp)相关目录是否有异常文件

3. 浏览器浏览痕迹、浏览器下载文件、浏览器信息

4. 查看文件时间、创建时间、修改时间、访问时间。对应linux的ctime mtime atime,右击文件的属性可以看到详细的时间(也可以通过dir /tc 1.aspx查看创建时间),以及黑客通过改变了什么工具是修改时间。所以如果修改时间在创建时间之前,显然是可疑文件。

5. 查看用户相关文件,分析最近打开的可疑文件

a) C:\ 和 \\

b) C:\ 和 \ 用户\

c) 开始,运行 %%\

5. 根据文件夹中的文件列表时间排序,查找可疑文件。当然,您也可以搜索指定日期范围内的文档和文档

2008 R2系列

Win10系列

7. 关键字匹配,可以在IIS日志中通过判断入侵时间和js文件的关键字(如赌博)进行过滤匹配,比如常用的:

3.2.2 进程命令

1. -ano 检查当前网络连接并定位可疑

2. 根据定位的pid,通过命令定位进程

3. 通过命令查看可疑程序

3.2.3 系统信息

1. 使用set命令查看变量设置

2.的定时任务;

3.的账号信息,如隐藏账号等。

4. 支持注册表信息检索和查看、SAM文件和远程控制软件

5. 查看信息、系统版本和补丁信息

比如系统的远程命令执行漏洞MS08-067、MS09-001、MS17-010(永恒之蓝)...

对于漏洞比较,建议使用 -

3.2.4 后门故障排除

PC是系统信息查看软件

功能列表如下:

PS:最简单的使用方法是通过颜色可疑进程、隐藏服务、挂钩函数:红色来识别,然后根据程序的右键功能定位到具体的程序并移除该功能。根据可疑进程名称进行互联网信息检索,然后统一清空并关联注册表。

故障排除

1. 你可以用hm

2. 也可以用盾牌(D盾,暗团盾),如果可以导出web目录,可以在自己的虚拟机中分析

3.2.5 日志分析

1. 打开事件管理器(开始——管理工具——事件查看/开始运行)

2. 主要分析安全日志,可以使用内置过滤功能

狮王黑客数学招生业务老师文化不高_黑客ok8官网_黑客业务网

3. 可以将日志导出为文本格式,然后用++打开,使用正则模式匹配远程登录的IP地址,可以在定义事件日期范围的基础上提高效率

规律是:((?:(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d)))\ . ){3}(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))))

4. 强大的日志分析工具Log

有了这些,我们就可以分析日志了。比如我们在分析域控制日志的时候,要检查账号登录过程,用户是否正确黑客业务网,密码是否错误,我们需要统计源IP,时间,用户名,我们可以这样写(当然也可以结合一些统计功能,分组统计等):

LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT\_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT\_TOKEN(Strings,5,'|') AS Client_IP FROM 'e:\logparser\xx.evtx' WHERE EventID=675"

事件 ID 是一个很好的索引

3.2.6 相关处理通过网络连接锁定的可疑进程,()木马检测定位恶意程序后,可配合进一步专业分析,使用工具功能强制停止并删除最终清理之后,检查网络连接、进程、内核钩子等是否正常。3.3 类检查mysql\lib\目录没有发现异常文件(提权参考UDF) mysql: * from mysql.,检查存储过程是否正常

不管是什么web服务器,日志都需要注意同一个东西,就是,和。一般确定ip地址后,通过:

find .|grep xargs ip 攻击地址

寻找。| grep xargs 木马文件名

在对WEB日志进行安全分析时,可以按照以下两种思路逐步展开,还原整个攻击过程。

1. 首先确定攻击入侵的时间范围,以此为线索,搜索该时间范围内的可疑日志,进一步排查,最后确定攻击者,还原攻击过程。

2. 一般攻击者入侵网站后,通常会上传后门文件,方便他以后访问。我们也可以以此文件为线索进行分析。

4. 应急小结的核心思想是定义“顺腾魔瓜”碎片化信息关联分析的时间范围,以及与Web入侵类串联的关键操作时间点。外壳定位很重要。假设并验证攻击配置文件和路由确认。5.

1. 密码读取

一个):

b)Linux:

2. 账号信息

a) 操作系统账户

b) 数据库账户

c) 申请账户信息

3. 敏感信息

a) 配置信息

b) 数据库信息

c) 服务端口信息

d) 指纹信息

4. 雪球线性膨胀

a) 密码和密码的扩展(远程控制)

b) 典型漏洞的批量利用

5. 常见的入侵方法

a) WEB入侵

一世。典型漏洞:注入、上传、命令执行、文件包含、代码执行、编辑器、后台管理、数据库操作

ii. 容器相关:,Axis2、等中间件弱密码上传war包等,,,jboss反序列化,代码执行漏洞,命令执行漏洞

b) 系统入侵

狮王黑客数学招生业务老师文化不高_黑客业务网_黑客ok8官网

一世。SSH破解后的登录操作

ii. RDP破解后的登录操作

三、MSSQL破解后的远程控制操作

四、SMB 远程命令执行(MS08-067、MS17-010、CVE-2017-7494)

c) 典型应用

一世。Mail暴力破解后的信息挖掘与漏洞利用

ii. VPN暴力破解后绕过边界

三、Redis未授权访问或弱密码会导致ssh公钥或命令执行

四、Rsync 未经授权的访问

v. 未经授权的访问

六. 命令执行漏洞

七. 未授权访问漏洞

八。服务相关密码(mysql ldap zebra squid vnc smb)

6. 资源参考

7. 常见问题

1. 应急需求有哪些类别:

a) 谁被入侵了?关联攻击 IP 攻击者信息

b) 它是如何被入侵的?关联入侵时间表和漏洞信息

c) 为什么它被黑了?相关行业特征、数据信息、漏洞信息

d) 数据是否被盗?关联日志审计

e) 怎么办?关联隔离、调查分析、删马(解密)、加固、新操作

2. 有没有图形界面版的日志工具(log)?

Log是用Vc++.net编写的增强工具。主要有以下特点:

a) 封装了命令,提供了图形界面,大大降低了使用难度。

b) 集成多个开源工具,如etc,可以方便的查询IIS日志\\\\File\T-SQL。

c) 集成..Core.v4.3、.Excel.v4.3.dll等,方便以图表或EXCEL格式显示查询结果.

d) 集成常用查询命令,范围包括六大模块: IIS

e) 可以保存查询到的命令,方便重复使用。

PS:软件比较老,不兼容新系统。推荐微软原生态日志

3. linux日志中是否有黑客入侵后的操作命令统计

a) 可根据信息进行溯源分析,但一般可以清除

b) 还有一种方法可以结合和

4.3.2.3 提到-- 有linux版本吗?

之三

5.有没有linux自动化信息采集的脚本工具?

6. 几个检测病毒文件的网站

7.有全面的取证分析工具吗?

它是一个提供的平台工具,具有Linux磁盘镜像静态分析、已删除文件恢复、时间线分析、网页浏览历史、关键字搜索和电子邮件分析等功能。

8.业务逻辑故障排除方法说明

新业务安全中的安全事件,如库碰撞、取毛、支付、逻辑验证等敏感环节,本文不涉及,因此有必要总结一下业务侧的应急排查方法。后续行动。

关键词:黑客业务网