Linux：

查看爆破ssh攻擊者的ip：

last? -i? #查看近期登錄用戶,-i可顯示登錄者IP 單獨(dú)執(zhí)行l(wèi)ast指令時(shí)，它會(huì)讀取位于/var/log/wtmp的文件，并把該給文件的內(nèi)容記錄的登錄系統(tǒng)的用戶名單全部顯示出來(lái)。

查看使用的用戶名：

lastb -i? #查看近期登錄失敗的用戶,-i可顯示登錄者IP單獨(dú)執(zhí)行l(wèi)astb指令，它會(huì)讀取位于/var/log/btmp的文件，并把該文件內(nèi)容記錄的登入系統(tǒng)失敗的用戶名單，全部顯示出來(lái)。

查看后門：ps -aux

查看歷史操作記錄：history

/var/log/utmp(命令執(zhí)行日志)

可以查看使用命令執(zhí)行了什么

web日志文件記錄web訪問(wèn)信息

/var/adm/sulogZ（記錄用戶最近成功登錄事件和最后一次不成功登錄事件）

根據(jù)題意，隱藏了某個(gè)批處理文件，在進(jìn)程或許可以找到

1.1 /tmp 目錄

此目錄下，任可用戶均可讀寫(xiě)，因此應(yīng)關(guān)注此目錄內(nèi)容

1.2.1 /etc/init.d 系統(tǒng)服務(wù)目錄

/etc/init.d/apache2 status #查看服務(wù)狀態(tài)

apache2.service - The Apache HTTP Server

???? Loaded: loaded (/lib/systemd/system/apache2.service; disabled; vendor preset: disabled)

???? Active: inactive (dead)

?????? Docs: https://httpd.apache.org/docs/2.4/

/etc/init.d/apache2 start #啟動(dòng)服務(wù)

update-rc.d? apache2 stop? #修改為啟動(dòng)默認(rèn)關(guān)閉服務(wù)

1.2.2 /etc/profile.d/? 用戶自定義啟動(dòng)目錄

將寫(xiě)好的腳本（.sh文件）放到目錄 /etc/profile.d/ 下，系統(tǒng)啟動(dòng)后就會(huì)自動(dòng)執(zhí)行該目錄下的所有shell腳本。

1.3 linux目錄-基于時(shí)間和權(quán)限查找

find / -mtime -2 #查找2天內(nèi)被修改的文件

find / -perm 777 #查找具有777權(quán)限的文件

find / -perm -4000 #查找具有Suid權(quán)限的文件? 或find / -perm -u=s

????????????????????????? #suid表示特殊權(quán)限位

SUID是一種對(duì)二進(jìn)制程序進(jìn)行設(shè)置的特殊權(quán)限,可以讓二進(jìn)制程序的執(zhí)行者臨時(shí)擁有屬主的權(quán)限

當(dāng)s這個(gè)標(biāo)志出現(xiàn)在文件所有者的x權(quán)限上時(shí)，如/usr/bin/passwd這個(gè)文件的權(quán)限狀態(tài)：“-rwsr-xr-x.”，此時(shí)就被稱為Set UID，簡(jiǎn)稱為SUID。那么這個(gè)特殊權(quán)限的特殊性的作用是什么呢？

1、SUID權(quán)限僅對(duì)二進(jìn)制程序(binary program)有效；

2、執(zhí)行者對(duì)于該程序需要具有x的可執(zhí)行權(quán)限；

3、本權(quán)限僅在執(zhí)行該程序的過(guò)程中有效(run-time)；

4、執(zhí)行者將具有該程序擁有者(owner)的權(quán)限。

1.4 可疑網(wǎng)絡(luò)連接分析 netstat -pant

kill 9 pid? 可殺死某個(gè)進(jìn)程

1.5 可疑進(jìn)程所對(duì)文件分析? ps? aux

kill殺死進(jìn)程后需刪除可疑文件

1.6 登錄分析-篩選異常登錄

單獨(dú)執(zhí)行l(wèi)ast指令時(shí)，它會(huì)讀取位于/var/log/wtmp的文件，并把該給文件的內(nèi)容記錄的登錄系統(tǒng)的用戶名單全部顯示出來(lái)。

單獨(dú)執(zhí)行l(wèi)astb指令，它會(huì)讀取位于/var/log/btmp的文件，并把該文件內(nèi)容記錄的登入系統(tǒng)失敗的用戶名單，全部顯示出來(lái)。

last? -i? #查看近期登錄用戶,-i可顯示登錄者IP

who

users

w??????????????????????????? #查看當(dāng)前登錄用戶

1.7 異常用戶分析-cat /etc/passwd

1.8 歷史執(zhí)行命令查看history??? cat /root/.bash_history

wget可能下載一個(gè)木馬

ssh連接一個(gè)內(nèi)網(wǎng)系統(tǒng)

tarzip打包敏感信息

系統(tǒng)配置修改等

31.9 計(jì)劃任務(wù)排查 crontab

crontab -e

crontab -l

crontab -r

?crontab [ -u user ] [ -i ] { -e | -l | -r }

??????????????? (default operation is replace, per 1003.2)

??????? -e????? (edit user's crontab)

??????? -l????? (list user's crontab)

??????? -r????? (delete user's crontab)

?????

如果修改了/etc/crontab文件后不生效，則要查看是否添加了用戶，或者執(zhí)行crontab /etc/crontab命令即可

1.10 異常環(huán)境變量path排查

1.10.1 $path

echo $path #查看當(dāng)前path環(huán)境變量所包含的目錄

export?PATH=$PATH:路徑/var/test/ #臨時(shí)將/var/test/目錄加入環(huán)境變量，重啟后丟失

??????????????????????????????????? #需永久生效則修改/etc/profile或~/.bash_profile

1.10.2當(dāng)前Shell環(huán)境變量配置~/.bash_profile

當(dāng)前用戶專屬的啟動(dòng)文件，可根據(jù)不同用戶定制不同的環(huán)境變量。

觸發(fā)時(shí)機(jī)：每當(dāng)創(chuàng)建新的shell終端或ssh登入調(diào)用（即 no login shell）

1.10.3 全局Shell環(huán)境變量配置 /etc/profile

所有用戶的環(huán)境變量，統(tǒng)一配置。

觸發(fā)時(shí)機(jī)：每次開(kāi)機(jī)并成功登錄Linux系統(tǒng)將調(diào)用（即 login shell）

環(huán)境變量加載順序：

/etc/profile

$HOME/.bash_profile

$HOME/.bashrc???????????????? 每次啟用shell會(huì)將 /etc/profile 中自定義的部分同步更新

/etc/profile.d/*.sh

$HOME/.bash_login????????? 默認(rèn)無(wú)此文件，支持自定義用戶登入事件

$HOME/.bash_logout??????? 默認(rèn)文件為空，支持自定義用戶登出事件

Linux常見(jiàn)系統(tǒng)后門排查命令

1、檢查異常賬號(hào)——cat /etc/passwd

??? 通過(guò)檢查/etc/passwd，查看有沒(méi)有可疑的系統(tǒng)用戶，這個(gè)文件是以冒號(hào):進(jìn)行分割字段，一般我們只要注意第三個(gè)字段即可，第三個(gè)字段是用戶ID，也就是UID，數(shù)字0代表超級(jí)用戶的UID，即這個(gè)賬號(hào)是管理員賬號(hào)。一般Linux只會(huì)配置一個(gè)root賬號(hào)為系統(tǒng)管理員，當(dāng)出現(xiàn)其他賬號(hào)是系統(tǒng)管理員的時(shí)候，就要注意了，很可能是黑客建立的賬號(hào)。

2、檢查異常登陸

who 查看當(dāng)前登錄用戶（tty本地登陸 pts遠(yuǎn)程登錄）

w 查看系統(tǒng)信息，想知道某一時(shí)刻用戶的行為

last 列出所有用戶登陸信息

lastb 列出所有用戶登陸失敗的信息

lastlog 列出所有用戶最近一次登錄信息

3、網(wǎng)絡(luò)連接——netstat -pantl

通過(guò)查看網(wǎng)絡(luò)連接，檢查是否存在對(duì)外的惡意連接，這些惡意連接是哪個(gè)進(jìn)程產(chǎn)生的，就可以判斷出服務(wù)器是否被黑客入侵。

4、查看進(jìn)程——ps -ef | more

查看進(jìn)程信息，進(jìn)程運(yùn)行參數(shù)太長(zhǎng)或存在不可見(jiàn)字符時(shí)，需加 more命令 或把ps命令的結(jié)果輸出到文件查看。

查看系統(tǒng)進(jìn)程可以有效的發(fā)現(xiàn)是否存在黑客運(yùn)行的惡意程序。這里要注意一點(diǎn)，PID是進(jìn)程運(yùn)行的ID號(hào)，PPID是父進(jìn)程號(hào)，也就是啟動(dòng)這個(gè)進(jìn)程的程序是誰(shuí)，不過(guò)我們一般只要注意PID就可以了。很多時(shí)候服務(wù)器運(yùn)行的進(jìn)程較多，而且當(dāng)進(jìn)程的參數(shù)出現(xiàn)不可見(jiàn)字符的時(shí)候，我們只用ps -ef很可能會(huì)忽略掉一些進(jìn)程的啟動(dòng)信息，所以建議大家使用ps -ef查看進(jìn)程時(shí)加一個(gè)more命令，這樣就能有效的避免我剛才說(shuō)到的情況

很多時(shí)候黑客運(yùn)行的程序會(huì)做很多偽裝，比如我們通過(guò)ps命令查看到一個(gè)進(jìn)程名是abc，但是如果黑客經(jīng)過(guò)偽裝的話，啟動(dòng)這個(gè)程序的文件名就可能不是abc了，是其他的命令，所以我們就要通過(guò)在/proc這個(gè)內(nèi)存目錄來(lái)查看具體是哪個(gè)程序啟動(dòng)的這個(gè)進(jìn)程，同樣的，使用lsof -p命令我們一樣能達(dá)到同樣的效果。

ls -la /proc//exe 或

lsof -p

5、計(jì)劃任務(wù)

crontab -l 列出計(jì)劃任務(wù)列表

crontab -e 編輯計(jì)劃任務(wù)，當(dāng)計(jì)劃任務(wù)出現(xiàn)不可見(jiàn)字符時(shí)，需要此命令才能看到具體信息

ls -la /var/spool/cron/ 查看計(jì)劃任務(wù)文件

more /etc/crontab 查看計(jì)劃任務(wù)

計(jì)劃任務(wù)也是黑客經(jīng)常會(huì)使用到的一個(gè)功能，通過(guò)查看計(jì)劃任務(wù)，可以發(fā)現(xiàn)黑客是否在系統(tǒng)中添加了定期執(zhí)行的惡意腳本或程序。如果發(fā)現(xiàn)某個(gè)計(jì)劃任務(wù)是定期運(yùn)行一個(gè)python腳本，但我們不知道這個(gè)python腳本是不是惡意的，這時(shí)就需要我們?nèi)ゲ榭磒ython腳本的內(nèi)容來(lái)確定它是不是一個(gè)惡意腳本了。

6、系統(tǒng)啟動(dòng)項(xiàng)

more /etc/rc.local

ls -l /etc/rc.d/rc<0~6>.d 優(yōu)先查看/etc/rc.d/rc3.d的內(nèi)容

more /etc/ld.so.preload ld.so.preload是linux動(dòng)態(tài)鏈接庫(kù)，linux正常程序運(yùn)行過(guò)程中，動(dòng)態(tài)鏈接器會(huì)讀取LD_PRELOAD環(huán)境變量的值和默認(rèn)配置文件/etc/ld.so.preload的文件內(nèi)容，并將讀取到的動(dòng)態(tài)鏈接庫(kù)進(jìn)行預(yù)加載，即使程序不依賴這些動(dòng)態(tài)鏈接庫(kù)。

查看系統(tǒng)啟動(dòng)項(xiàng)也是一個(gè)有效發(fā)現(xiàn)黑客攻擊的方法，一般來(lái)說(shuō)我們只需要查看上述的這幾個(gè)文件就行。

7、系統(tǒng)日志

/var/log/secure SSH登陸日志、su切換用戶日志，只要涉及賬號(hào)和密碼的程序都會(huì)記錄

/var/log/message 記錄系統(tǒng)重要信息的日志。這個(gè)日志文件中會(huì)記錄Linux系統(tǒng)的絕大多數(shù)重要信息，但因?yàn)橛涗浀男畔⑻s，一般不查看。

/var/log/cron 計(jì)劃任務(wù)日志

/var/log/wtmp 記錄所有用戶的登錄、注銷信息，同時(shí)記錄系統(tǒng)的啟動(dòng)、重啟、關(guān)機(jī)事件。這個(gè)文件是二進(jìn)制文件，需要使用last命令來(lái)查看

通過(guò)查看系統(tǒng)日志，能發(fā)現(xiàn)黑客究竟做了一些什么事情，不過(guò)一般我們只查看secure日志即可，這個(gè)日志能有效的發(fā)現(xiàn)黑客有沒(méi)有通過(guò)暴力破解的方法攻破過(guò)服務(wù)器，查看日志的方式也很簡(jiǎn)單，使用cat、more、grep等命令查看即可。

8、Rootkit查殺

chkrootkit

rkhunter

如果遇到更頑強(qiáng)的系統(tǒng)木馬，比如Rootkit這類型的后門，我們就要使用一些專門的Rootkit查殺工具了，直接運(yùn)行就可以開(kāi)始查殺。

Windows：

查看登錄系統(tǒng)所使用的ip：在C:\Windows\System32\winevt\Logs\查看web日志文件即可

在web服務(wù)器根目錄中查找是否有異常文件

如果找到進(jìn)行分析并刪除

查看mysql用戶和密碼

select user,password mysql.user;

刪除administrators組中除administrator的所有用戶

查看用戶：net user

在開(kāi)始菜單所有程序中找到啟動(dòng)文件夾,刪除不必要的啟動(dòng)項(xiàng)目

Windows應(yīng)急響應(yīng)

2.1. 入侵排查

2.1.1. 一、賬號(hào)

1、弱口令

檢查方法：查看服務(wù)器是否存在弱口令，遠(yuǎn)程連接端口是否對(duì)公網(wǎng)開(kāi)放；直接詢問(wèn)管理員

2、新建賬號(hào)和可疑賬號(hào)

檢查方法一：Win+R，輸入lusrmgr.msc

檢查方法二：cmd中net localgroup administrators

處理方法：禁用或刪除對(duì)應(yīng)的賬戶

3、隱藏賬號(hào)和克隆賬號(hào)

檢查方法：查看注冊(cè)表對(duì)應(yīng)的鍵值

處理方法：刪除注冊(cè)表 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\ 下對(duì)應(yīng)帳戶的鍵值即可（兩處）

4、登陸日志

檢查方法：

a

win+R輸入

eventvwr.msc

打開(kāi)事件管理器

?b、Windows日志 -> 安全 -> 另存為

?c、利用Log Parser進(jìn)行分析

安裝后常規(guī)情況安裝到 C:\Program Files (x86)\Log Parser 2.2

常用的命令 https://blog.csdn.net/qq_29647709/article/details/85124105

# 查看日志中的登陸記錄

LogParser.exe ?-i:EVT "select TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') ?as username FROM c:\日志路徑\日志.evtx where EventID=4624"

LogParser.exe -i:EVT -o:DATAGRID ?"SELECT * ?FROM C:\Users\d4m1ts\Desktop\安全.evtx where EventID=4624"

2.1.2. 二、端口和進(jìn)程

可能存在一些還在運(yùn)行中的后門程序，方便快速定位

1、檢查端口連接，是否有遠(yuǎn)程連接、可疑連接

檢查方法：

a、netstat -ano 查看目前的網(wǎng)絡(luò)連接，定位可疑的ESTABLISHED的連接，和可疑的監(jiān)聽(tīng)LISTENING端口。

b、根據(jù)查詢到的 pid 定位到進(jìn)程，tasklist /svc | findstr $PID ?

c、根據(jù)查詢到的建立連接的IP，可以去微步上查一下是否為C2

2、檢查異常進(jìn)程

檢查方法一：Win+R，輸入 msinfo32，點(diǎn)擊 “軟件環(huán)境” -> “正在運(yùn)行任務(wù)”

檢查方法二：使用 Process Explorer

檢查方法三：“任務(wù)管理器” -> “進(jìn)程”

3、進(jìn)程命令行啟動(dòng)參數(shù)

在windows下查看所有運(yùn)行程序（或進(jìn)程）的命令行參數(shù)

wmic process get caption,commandline /value

如果想查詢某一個(gè)進(jìn)程的命令行參數(shù)，使用下列方式：

wmic process where caption="svchost.exe" get caption,commandline /value

4、技巧

技巧一：如何快速定位惡意進(jìn)程

(1). 沒(méi)有簽名驗(yàn)證信息的進(jìn)程

(2). 沒(méi)有描述信息的進(jìn)程

(3). 進(jìn)程的屬主

(4). 進(jìn)程的路徑是否合法

(5). CPU或內(nèi)存資源占用長(zhǎng)時(shí)間過(guò)高的進(jìn)程

技巧二：如何快速定位進(jìn)程目錄

(2). msinfo32可以直接看

(3). cmd中輸入wmic，然后輸入process

(1). 任務(wù)管理器的進(jìn)程欄，直接右鍵，點(diǎn)擊“打開(kāi)文件位置”

2.1.3. 三、開(kāi)機(jī)啟動(dòng)項(xiàng)、計(jì)劃任務(wù)、服務(wù)

1、開(kāi)機(jī)啟動(dòng)項(xiàng)

檢查方法：a、Win+R輸入shell:startup，快速查看開(kāi)機(jī)啟動(dòng)目錄

b、Win+R輸入msconfig，查看啟動(dòng)項(xiàng)

c、Win+R輸入regedit

查看HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run、HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run、HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce右側(cè)是否有啟動(dòng)異常的項(xiàng)目；

查看HKEY_CURRENT_USER\Environment\是否存在UserInitMprLogonScript參數(shù)（Logon Scripts 后門）；

查看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的Userinit的參數(shù)值是否有除userinit.exe外的其他程序（userinit后門）；

reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"

reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"

reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce"

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

如有請(qǐng)刪除，并建議安裝殺毒軟件進(jìn)行病毒查殺，清除殘留病毒或木馬。

d、Win+R，輸入gpedit.msc 查看組策略

e、利用安全軟件查看

2、計(jì)劃任務(wù)

檢查方法一：“控制面板” -> “管理工具” -> “計(jì)算機(jī)管理”->“系統(tǒng)工具”->“任務(wù)計(jì)劃程序”->“任務(wù)計(jì)劃程序庫(kù)”

檢查方法二：cmd輸入schtasks 或者 at

3、服務(wù)

檢查方法一：Win+R 輸入 services.msc，注意服務(wù)狀態(tài)和啟動(dòng)類型，檢查是否有異常服務(wù)。

檢查方法二：cmd輸入 sc query，不太直觀

4、工具

Autoruns

? ? ? ?Autoruns for Windows 是 Mark Russinovich 和 Bryce Cogswell ?開(kāi)發(fā)的一款軟件，它能用于顯示在 ?Windows啟動(dòng)或登錄時(shí)自動(dòng)運(yùn)行的程序，并且允許用戶有選擇地禁用或刪除它們，例如那些在“啟動(dòng)”文件夾和注冊(cè)表相關(guān)鍵中的程序。此外，Autoruns還可以修改包括：Windows 資源管理器的 Shell 擴(kuò)展（如右鍵彈出菜單）、IE瀏覽器插件（如工具欄擴(kuò)展）、系統(tǒng)服務(wù)和設(shè)備驅(qū)動(dòng)程序、計(jì)劃任務(wù)等多種不同的自啟動(dòng)程序。

2.1.4. 四、系統(tǒng)信息

1、系統(tǒng)補(bǔ)丁

檢查方法：CMD 中輸入 systeminfo，將結(jié)果復(fù)制到提權(quán)輔助頁(yè)，查看是否有相應(yīng)可用的漏洞

2、可疑目錄和文件

檢查方法：

a、Win+R輸入 %UserProfile%\Recent，打開(kāi)最近操作過(guò)的文件（可以看到attrib +s +a +h +r隱藏的文件）

b、在各個(gè)目錄_，按修改日期排序，尋找最近更新過(guò)的文件

c、回收站、瀏覽器下載目錄、瀏覽器歷史記錄

d、修改時(shí)間在創(chuàng)建時(shí)間之前的為可疑文件

e、ADS隱藏后門

? ?當(dāng)看到運(yùn)行進(jìn)程中調(diào)用的文件名包含:，或者dir /r看到的文件列表中包含:，類似test.txt:1.vbs時(shí)，可考慮此后門，直接刪除test.txt即可文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-490431.html

到了這里，關(guān)于網(wǎng)絡(luò)安全運(yùn)維-應(yīng)急響應(yīng)篇的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！