Linux 应急流程与思路

1 敏感目录查询
ls -alt /tmp/
Find ./ -mtime 0 -name “*.jsp”
Find / ctime 2
Ls -al /tmp | grep “Feb 27“
find / *.jsp -perm 4777
find / -type f -perm 777
2 查看进程命令
Netstat -tnlpa | more

3 系统信息
History (cat /root/.bash_histiry)
/etc/passwd
crontab /etc/cron*
Rc.local /etc/init.d chkconfig
Last

4 后门排查
Chkroot: 检测是否被植入后门、木马、rootkit、系统命令是否正常、登录日志、
rkhunter:系统命令师傅正常(md5校验)、rootkit检测、本机敏感目录检测、系统配置检测、服务及套件检测、第三方应用版本检测
rpm check检查:md5 校验码、文件尺寸、符号链接、文件修改日期、设备、用户、用户组、模式
5 webshell查找
find /var/www/ -name “*.php” |xargs egrep ‘assert|phpspy|c99sh|milw0rm|eval|(gunerpress|(base64_decoolcode|spider_bc|shell_exec|passthru|($_\POST[|eval (str_rot13|.chr(|${\”_P|eval($_R|file_put_contents(.*$_|base64_decode’

6 日志分析
/var/log/wtmp
/var/run/utmp
/var/log/lastlog
/var/log/btmp

文章来源: Linux 应急流程与思路

人吐槽 人点赞

猜你喜欢

发表评论

用户名: 密码:
验证码: 匿名发表

你可以使用这些语言

查看评论:Linux 应急流程与思路