正文

别当初级猴子了,五分钟教你linux维权和排查思路,助你圆梦4k!

admin
admin V管理员 /0 评论 /313 阅读
0119
此篇文章发布距今已超过653天,您需要注意文章的内容或图片是否可用!

本来麋鹿是不想写这些维权手段和应急的,一方面麋鹿觉得大部分维权手法实战中用不到,比如对于linux来讲,一般只需要把做个好的马子就行了,如果需要隐藏进程 or tcp/udp上个rootkit就行,rootkit的介绍和部分原理如下

再一方面这些东西都已经老生常谈了,写起来有点无聊,但是耐不住hw和安服面试经常问这些东西,而公众号有很大部分读者都是学生,会面临hw or 就业,而这个公众号的初心就是为了传播我们 所闻之道,所攻之术,希望能帮读书的朋友们拿到一个不错的薪资,那就加一些其他的手法和对应的排查思路,聊聊喽。

和上一篇文章windows结构一样--先讲维权手法再讲如何排查。

本文目录如下

基础配置检查

查看系统信息

IP地址:

ip addr show

用户

cat /etc/passwd

开机时间

uptime

系统版本

cat /etc/os-release

Hostname

hostname

服务器SN

dmidecode -t system

太多了不截图了

性能情况

CPU使用率
top 或 htop
登录用户信息
who
CPU TOP 15
ps -eo %cpu,%mem,comm --sort=-%cpu | head -16
内存 TOP 15
ps -eo %cpu,%mem,comm --sort=-%mem | head -16
磁盘剩余空间检查:
cat /etc/passwd0
硬盘挂载
cat /etc/passwd1

添加用户和密码

添加一个名为 guest 的新用户,权限为root(uid为0)

cat /etc/passwd2

排查用户

查询特权用户特权用户(uid 为0)

cat /etc/passwd3

查询可以远程登录的帐号信息

cat /etc/passwd4

查看哪些用户账户是可以通过 shell 登录的

cat /etc/passwd5

排查空密码用户

cat /etc/passwd6

排查可登录用户

cat /etc/passwd

passwd文件修改日期

cat /etc/passwd8

sudoers定义的规则和权限

cat /etc/passwd9

登录情况

uptime0

计划任务

uptime1

排查

uptime2

指定用户

uptime3

系统任务计划

uptime4

任务计划文件创建时间,这个偷懒不截图了

uptime5

看base64编码的计划任务

uptime6

网络

网络连接: netstat -ant 或 ss -ant
TCP连接状态: netstat -ant 或 ss -ant

看外联

netstat -tpnl

查看系统进程情况

netstat -anop

查看指定pid的进程信息

ls -alt /proc/1862

查看进程所打开的文件

常用软件检查

uptime7

检查hosts

uptime8
端口监听: netstat -tulnp 或 ss -tulnp

对外开放端口
uptime9
DNS Server
cat /etc/os-release0
ARP
cat /etc/os-release1
iptables 防火墙
cat /etc/os-release2

检查rootkit

再放一遍rootkit的介绍和安装

检查可疑的内核模块

cat /etc/os-release3

检查内核符号表

哦,对了,什么是内核符号表,碰巧麋鹿在下面这一篇也提到过

排查

cat /etc/os-release4

工具

cat /etc/os-release5
cat /etc/os-release6

检查 .ko Rootkit 模块

cat /etc/os-release7

检查隐藏文件

ls -a

系统所有文件

cat /etc/os-release8

检查服务

运行的服务

systemctl | grep running

服务创建时间

cat /etc/os-release9

忘了说启动项

hostname0

文件相关

#查找一天内添加的文件

find / -ctime 0 

#查找权限为777的文件

find /tmp -perm 777

一天内修改的文件

find /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime +1 | xargs ls -la

大于200mb的文件

hostname1

临时文件

hostname2

找出当前正在运行的进程中,那些其可执行文件已经不再文件系统中的进程

hostname3

整个系统里查看有setuid 权限的文件(可能用于提权)

hostname4

一些黑客工具

哈哈,为了节目效果,下面这几条命令麋鹿选择在kali运行一下

hostname5

被篡改的文件。例如wget curl

which wget
which curl
环境变量检查
环境变量:
hostname6
path
hostname7
LD_PRELOAD / LD_ELF_PRELOAD / LD_AOUT_PRELOAD / PROMPT_COMMAND / LD_LIBRARY_PATH / 

LD_PRELOAD是什么东西,以及原理看下面这一篇

hostname8

LD_PRELOAD引用情况,举例

hostname9

排查SSH相关

SSH 爆破检查
检查 /var/log/auth.log 或 /var/log/secure 中的异常登录尝试
SSHD 检测
dmidecode -t system0
SSH 后门配置检查
检查 /etc/ssh/sshd_config 文件。
SSH inetd后门检查
检查 /etc/inetd.conf 文件(如果存在)。
SSH key检查
检查 ~/.ssh/authorized_keys 文件。

Webshell 检查

工具,河马,牧云,D盾,Shell Detector

SHELLPUB.COM 专注查杀,永久免费

GitHub - chaitin/cloudwalker: CloudWalker Platform

D盾防火墙 (d99net.net)

Web Shell Detector

手动查杀垃圾的webshell(比如有base64这些特征的)

php里有base64的
dmidecode -t system1
jsp 里有cmd的
dmidecode -t system2

有能力和兴趣的读者可以自行收集一些特征

挖矿

很常见

看cpu占有率

dmidecode -t system3
进阶一点,比如我们遇到了一些出名的挖矿病毒,比如H2Miner,WorkMiner之流
那我们不就可以直接搜索名字吗
挖矿文件检查:find / -name "miner"
挖矿进程检查:ps aux | grep -i 'miner'
WorkMiner检测:ps aux | grep -i 'work'
Ntpclient检测:ps aux | grep -i 'ntp'

这篇文章不知不觉又写长了,但还有太多维权手法没来得及讲述,而且安全加固也没说,可是文章写长了没人看,经常一篇文章阅读不过千,而一些水文上万的阅读,多少有点失落,那就这样吧,剩下的东西找个时间再开一篇


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网