2024版Linux应急响应流程及实战演练.docx
《2024版Linux应急响应流程及实战演练.docx》由会员分享,可在线阅读,更多相关《2024版Linux应急响应流程及实战演练.docx(30页珍藏版)》请在第壹文秘上搜索。
1、1.inux应急响应流程演练手册目录1.inux应急响应流程演练手册4666791212历史命令.端口进程开机启动项定时任务.服务Rootkit查杀病毒查杀.三、webshell查杀14四、RPMCheCk检查14A、排查过程22C、清除病毒24D、漏洞修复241.inux应急响应流程演练手册当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些1.inUX
2、服务器入侵排查的思路。0x01入侵排查思路一、账号安全基本使用:1用户信息文件etcpasswdroot:x:0:0:root:/root:/bin/bashaccount:password:UID:GID:GECOS:directory:shell用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell注意:无密码只允许本机登陆,远程不允许登陆2、影子文件/etc/shadowroot:$6$oGsIPqh1.2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7qllWpkopYOUVQajBwUtID
3、pYxTCVv1/:16809:0:99999:7:用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留3、几个常用命令:who查看当前登录用户(tty本地登陆PtS远程登录)查看系统信息,想知道某一时刻用户的行为uptime查看登陆多久、多少用户,负载入侵排查:1、查询特权用户(uid为0)rootlocalhost#awk-F:,$3=0print$1/etcpasswd2、查询可以远程登录的帐号信息rootlocalhostawk/$1$6print$1),/etcshadow3、除root帐号外
4、,其他帐号是否存在sud。权限。如非管理需要普通帐号应删除sudo权限rootlocalhost-#more/etcsudoersgrep-v,,A#|A$grepA1.1.=(A1.1.)bash-4.3$sdo-listsudo-listsudo:unabletoresolvehosttheEther:ConnectiontimedoutMatchingDefaultsentriesforwww-dataontheEther:envreset,mailbadpasstsecurepath=usrlocalsbi:usrlocalbin:usrsbin:usrbin:/sbin:/binsn
5、apbinUserwww-datamayrunthefollowingcommandsontheEther:(A1.1.)NOPASSWD:varwwwhtmltheEpublichtmlxxxlogauditorxxx.py(root)NOPASSWD:varwwwhtmltheEhadevnullawk,print$NFsed-es/()/g,if$USER_IP”=thenUSER_IP=hostnamefiexporthisttimeformat=11%f%t$USER_工PWhoamishopt-ShistappendexportPROMPT_COMMAND=11history-a1
6、1#jiaguhistoryxianshi#3) )source/etc/profile让配置生效生成效果:12018-07-1019:45:39192.168.204.Irootsource/etc/profiIe3、历史操作命令的清除:history-c但此命令并不会清除保存在文件中的记录,因此需要手动删除.bash_profile文件中的记录。入侵排查:进入用户目录下:cat.bash_historyhistory,txt三、端口使用netstat网络连接命令,分析可疑端口、IP、PIDnetstat-antlpmore查看下Pid所对应的进程文件路径,运行Is-1/proc/$PID/
![2024版Linux应急响应流程及实战演练.docx_第1页](https://www.1wenmi.com/fileroot_temp1/2024-6/15/0c225874-628c-4d93-8e98-2c19eca33587/0c225874-628c-4d93-8e98-2c19eca335871.gif)
![2024版Linux应急响应流程及实战演练.docx_第2页](https://www.1wenmi.com/fileroot_temp1/2024-6/15/0c225874-628c-4d93-8e98-2c19eca33587/0c225874-628c-4d93-8e98-2c19eca335872.gif)
![2024版Linux应急响应流程及实战演练.docx_第3页](https://www.1wenmi.com/fileroot_temp1/2024-6/15/0c225874-628c-4d93-8e98-2c19eca33587/0c225874-628c-4d93-8e98-2c19eca335873.gif)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2024 Linux 应急 响应 流程 实战 演练
![提示](https://www.1wenmi.com/images/bang_tan.gif)