前言

版权声明：本文为本博主在CSDN的原创文章搬运而来，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。                            

原文链接:https://blog.csdn.net/weixin_72543266/article/details/138596038

       对我处在学生时期的我来说,目前web渗透还是为主,但是还是需要对于蓝队相关的应急响应,等保测评等还是需要有一定的了解的,攻防兼备才能越站越勇嘛,linux入侵排查也能够让我更加熟悉liunx命令.

为什么要做系统入侵排查

       当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。针对常见的攻击事件，结合工作中应急响应事件分析和解决的方法，总结了一些Linux服务器入侵排查的思路。

入侵排查思路

作为渗透小子一名,当然是通过kali来进行练习和总结了

1.检查账号安全

基本使用：

cat和more指令说明

cat

cat命令是整个文件的内容从上到下显示在屏幕上。还可以将多个文件连接起来显示，它常与重定向符号配合使用，适用于文件内容少的情况.

more

 more命令会以一页一页的显示方便使用者逐页阅读，而最基本的指令就是按空白键（space）就往下一页显示，按 b 键就会往回（back）一页显示，而且还有搜寻字串的功能 。more命令从前向后读取文件，因此在启动时就加载整个文件。

1、查看用户信息文件

cat /etc/passwd(信息少)

more /etc/passwd(信息多)

root:x:0:0:root:/root:/usr/bin/zsh
用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后shell
account:password:UID:GID:GECOS:directory:shell

需要注意的是：无密码只允许本机登陆，远程不允许登陆

方法：将后面有nologin的排除，因为有nologin的表示不能远程登录的，对剩下的账号进行排查看是否存在可疑账号或不应该存在的账号

2、影子文件

cat /etc/shadow

这是个存密码的文件,存储着上面查出的用户对应的密码

用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期的警告天 数：密码过期之后的宽限天数：账号失效时间：保留

kali:$y$j9T$k2TlXoYE./3ZfpPlC1rnz/$0GYCwPePph6GEy24/N8s7vVxlzwndL/DltBOhVQ1pLC:19799:0:99999:7:::

没有密码的用户就看不到这么一大串字符了： $y$j9T$k2TlXoYE./3ZfpPlC1rnz/$0GYCwPePph6GEy24/N8s7vVxlzwndL/DltBOhVQ1pLC:19799:0:99999:7:::

两次密码的修改时间间隔：0表示没有修改过 密码有效期：99999表示永不过期 密码修改到期的警告天数：7表示7天内都会提醒你 注：linux的密码是双层加密的(加密和加盐)，不容易破解

3.查看当前登录用户

who

（tty本地登陆 ,pts远程登录，比如用xshell这种工具连接登录上去的），一般本地登录的都是没什么问题的，排查远程登录的这些账号。排查是否是通过暴力破解登录上来的、还是自己人登录的.

w 查看系统信息，想知道某一时刻用户的行为

参考博客：CentOS下用于查看系统当前登录用户信息的4种方法_centos 查看用户信息-CSDN博客

uptime 查看登陆多久、多少用户，负载

参考博客：CentOS下Uptime命令详解 - 服务器之家

2.账号安全入侵排查方法总结

解释：有人入侵进来之后，肯定会把自己的级别提到管理员,方便进行更多的操作，通过指令可以查看有哪些用户为管理员，也就是特权用户.

1、查询特权用户特权用户(uid 为0)

root㉿kali)-[/home/kali]

└─# awk -F: '$3==0{print $1}' /etc/passwd

2、查询可以远程登录的帐号信息

这里因为我没有进行远程登录页就不存在远程登录的信息,如果存在的话,就会出现上面查出的登录用户的加密的账号密码 ,例如出现如下所示  账号:密码  这种格式        

kali:$y$j9T$k2TlXoYE./3ZfpPlC1rnz/$0GYCwPePph6GEy24/N8s7vVxlzwndL/DltBOhVQ1pLC:19799:0:99999:7:::

(root㉿kali)-[/home/kali]

└─# awk '/\$1|\$6/{print $1}' /etc/shadow

3、除root帐号外 o权限

more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"  # 其他的主机

─(root㉿kali)-[/home/kali]

└─# more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL:ALL) ALL"

命令的主要目的是检查sudoers文件中是否允许所有用户（ALL）在所有主机（ALL）上执行sudo命令。

4、禁用或删除多余及可疑的帐号

这里我先创建一个用户做一个案例:

sudo useradd -M hello   创建一个用户名为hello的用户

┌──(root㉿kali)-[/home/kali]

└─# sudo useradd -M hello

usermod -L user  

禁用帐号，帐号无法登录，/etc/shadow第二栏为!开头   user表示你查到的用

户名

剩下的这两个语句,用来删除确定是威胁的用户

userdel user       删除user用户

userdel -r user   将删除user用户，并且将/home目录下的user目录一并删除，有些人入侵完成删除自己用户的时候，可能忘记了加-r，那么在/home目录下是有它用户名的文件夹的，也就是存有相关信息。

2.查看历史命令确定目标

基本使用：

通过 .bash_history 查看帐号执行过的系统命令

1、root的历史命令

首先切换到用户(例如root)的用户目录,然后输入下面的命令

history N 显示最近的N条命令，例如history 5

history -d N 删除第N条命令，这个N就是前面的编号，例如history -d 990

history -c 清空命令历史 （包括缓存和文件）

history -a 将当前会话中的命令历史写入指定文件

history -w：把缓存中的历史命令写入历史命令保存文件~/.bash_history（显然每个用户有自己的文件）

2、查看普通帐号的历史命令

打开/home各帐号目录下的 .bash_history ，为历史的命令增加登录的IP地址、执行命令时间等信息：

1）保存1万条命令，默认只保存1000条

sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile

2）在 /etc/profile 的文件尾部添加如下行数配置信息：

######***************#########
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "
shopt -s histappend
export PROMPT_COMMAND="history -a"
######### ************** ##########

vim /etc/profile

然后按I键,进行输入,将上面的写入文件中,最后按:wq,进行写入

3） source /etc/profile 让配置生效

再执行history指令，生成效果：

第一条记录 什么时候执行的   哪个ip地址过来执行的 用的哪个用户 执行的什么指令

1  2024-05-9 12:45:39 192.168.xxx.1 root source /etc/profile

3、历史操作命令的清除： history -c

       但此命令并不会清除保存在文件中的记录，因此需要手动删除 .bash_profile 文件中的记录。入侵者如果能力比较强的，也会把这个文件删除。

总结

       对系统进行入侵排查也是比较费时间和精力的一次行动,本篇目前只记录这么多,后续会继续记录和总结.