Linux分析排查

Linux分析排查

  1. 文件分析---敏感文件

    1.1 Linux系统下一些皆文件,其中/tmp是一个特别的临时目录文件,每个用户都可以对它进行读写操作。因此一个普通用户可以对/tmp目录执行读写操作。

  2. 文件分析---敏感文件信息

    2.1 查看开机启动项内容/etc/init.d/,恶意代码很有可能设置在开机自启动的的位置

    2.2 使用ls -alh | head -n 10 筛选前十个文件查看是否异

    2.3 新增文件分析:

    ? 2.3.1 查找24小时内被修改过的文件

    ? Find ./ -mtime 0 -nam “*.php”

    2.3.2 查找72消失内新增的文件

    ? Find / -ctime 2 -name “*php”

    ? 2.3.3 权限查找,如果具有777权限,那么文件很可疑

    ? Find ./ iname “*php” -pcrm 777

  3. 进程分析---网络连接分析

    3.1 在Linux中可以使用netstat进行网络连接查看

    3.2 常用命令netstat -pantl 查看处于tcp网络套接字相关信息

    3.3 kill -9 pid关闭未知连接

  4. 进程分析---进程所对文件

    4.1 在Linux中可以受用ps查看进程相关信息。

    4.2 使用ps -aux查看所有进程信息

    4.3 使用ps -aux | grep pid筛选出具体PID的进程信息,lsof -i:d端口号 也可以实现类似功能

  5. 登陆分析

    5.1 在Linux做的操作都会被记录到系统日志中,对于登陆也可以查看日志信息查看是否有登陆异常

    5.2 last命令last – i | grep -v 0.0.0.0 查看登录日志,筛选非本地登陆。

    5.3 w命令 实时查看

  6. 异常用户分析排查

    6.1 在Linux中root用户是一个无敌的存在,可以在Linux上做任何事情。查看passwd文件是否还有uid为0的用户

  7. 在Linux系统中默认会记录之前执行的命令 /root/bash_history文件中。

    7.1 用户可以使用cat /root/.bash_history进行查看或者使用history命令进行查看

    7.2 特别注意:wget、ssh、tar zip类命令等

  8. 在Linux系统中可以使用命令crontab进行计划任务的设定

    8.1 其中-e可以用来编辑设定计划任务,-l 可以用来查看当前计划任务,-d可以用来删除计划任务

  9. $PATH变量异常

    9.1 决定了shell将到哪些目录中寻找命令或程序,PATH的值是一系列目录,当你运行一个程序时,Linux在这些目录下进行搜寻编译链接。

    9.2 修改PATH export PATH=$PATH:/usr/locar/new/bin 本次终端中有效,重启后无效。在/etc/profile或/home/.bashrc(source ~/.bashrc)才能永久生效。

  10. 后门排查---rkhunter

    10.1 rkhunter具有以下功能:系统命令检测、md5校验、rookit检测、本机敏感目录、系统配置异常检测

Linux分析排查

上一篇:Html5 Selectors API


下一篇:PCMan:Ubuntu下的最快的文件管理器