QQ love member No. 3 seed player

know it then do it && APT086&QQ愛安全实验室成员

应急响应排查之内网事件排查

07 Jul 2019 » security

[TOC]

应急响应排查之内网事件排查

​ 首先要了解攻击IP与被攻击IP所属业务系统,其次了解被攻击IP所提供的服务。由于绝大多数的攻击是被防火墙截获并记录的,所以存在一定可能性,在攻击IP与被攻击IP的正常业务数据交换中被截获并误报为攻击行为。

PS:突然看到一篇文章想记录下来,做为信息安全爱好者这种应急事件是常见的,方便以后查看。

1. 查看历史命令,防止新输入的命令覆盖了历史命令:

history
cat ~/.bash_history 

2. 查看已建立连接的网络

netstat -antlp | grep ESTABLISH

lsof -i:port  # 根据端口查看进程

3. 查看是否存在异常进程

ps -aux | head -n6

4. 查看是否存在异常计划任务

crontab -l

5. 日志分析

5.1 定位有多少IP在爆破主机的ROOT账户

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort| uniq -c | sort -nr | more

5.2 爆破成功的IP有哪些

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c |sort -nr | more

5.3 登录日志信息

last

# 单独执行last指令时,它会读取位于/var/log/wtmp的文件,并把该给文件的内容记录的登录系统的用户名单全部显示出来。

5.4 登录错误日志

lastb

# 单独执行lastb指令,它会读取位于/var/log/btmp的文件,并把该文件内容记录的登入系统失败的用户名单,全部显示出来。

5.5 查看某用户登录信息

lastlog -u uid

5.6 查看当前登录用户信息

who

**6. 用户分析 **

6.1 查看是否有新增用户,权限异常

cat /etc/passwd
cat /etc/shadow

# 可以登陆的用户是否正常
cat /etc/passwd | grep -E "/bin/bash$"  

# UID为0的帐号是否正常
awk -F: '{if($3==0)print $1}' /etc/passwd

7. 文件分析

7.1 针对可疑文件进行分析

stat FileName

// atime 访问时间;mtime 文件修改时间;ctime 元数据(文件大小,所以经常修改文件后mtime\ctime都会变动)、权限、所有者修改时间。

7.2 二十四小时内被修改的JSP文件

find ./ -mtime 0 -name "*.log"

7.3 查找根目录下所有777的权限的文件

find /* -perm 777
find /* -perm 777 | grep xxx

7.4 查找七十二小时内新增的文件

find ./ -ctime -2

7.5 根据确定时间去反推变更的文件

ls -al /tmp | grep "Feb 27"

后期会更新一起其他实用的shell命令

大参考1

参考2