前言
版权声明:本文为本博主在CSDN的原创文章搬运而来,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
原文链接:https://blog.csdn.net/weixin_72543266/article/details/138596038
对我处在学生时期的我来说,目前web渗透还是为主,但是还是需要对于蓝队相关的应急响应,等保测评等还是需要有一定的了解的,攻防兼备才能越站越勇嘛,linux入侵排查也能够让我更加熟悉liunx命令.
为什么要做系统入侵排查
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。
入侵排查思路
作为渗透小子一名,当然是通过kali来进行练习和总结了
1.检查账号安全
基本使用:
cat和more指令说明
cat
cat命令是整个文件的内容从上到下显示在屏幕上。还可以将多个文件连接起来显示,它常与重定向符号配合使用,适用于文件内容少的情况.
more
more命令会以一页一页的显示方便使用者逐页阅读,而最基本的指令就是按空白键(space)就往下一页显示,按 b 键就会往回(back)一页显示,而且还有搜寻字串的功能 。more命令从前向后读取文件,因此在启动时就加载整个文件。
1、查看用户信息文件
cat /etc/passwd(信息少)
more /etc/passwd(信息多)
root:x:0:0:root:/root:/usr/bin/zsh 用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell account:password:UID:GID:GECOS:directory:shell
需要注意的是:无密码只允许本机登陆,远程不允许登陆
方法:将后面有nologin的排除,因为有nologin的表示不能远程登录的,对剩下的账号进行排查看是否存在可疑账号或不应该存在的账号
2、影子文件
cat /etc/shadow
这是个存密码的文件,存储着上面查出的用户对应的密码
用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期的警告天 数:密码过期之后的宽限天数:账号失效时间:保留
kali:$y$j9T$k2TlXoYE./3ZfpPlC1rnz/$0GYCwPePph6GEy24/N8s7vVxlzwndL/DltBOhVQ1pLC:19799:0:99999:7:::
没有密码的用户就看不到这么一大串字符了: $y$j9T$k2TlXoYE./3ZfpPlC1rnz/$0GYCwPePph6GEy24/N8s7vVxlzwndL/DltBOhVQ1pLC:19799:0:99999:7:::
两次密码的修改时间间隔:0表示没有修改过 密码有效期:99999表示永不过期 密码修改到期的警告天数:7表示7天内都会提醒你 注:linux的密码是双层加密的(加密和加盐),不容易破解
3.查看当前登录用户
who
(tty本地登陆 ,pts远程登录,比如用xshell这种工具连接登录上去的),一般本地登录的都是没什么问题的,排查远程登录的这些账号。排查是否是通过暴力破解登录上来的、还是自己人登录的.
w 查看系统信息,想知道某一时刻用户的行为
参考博客:CentOS下用于查看系统当前登录用户信息的4种方法_centos 查看用户信息-CSDN博客
uptime 查看登陆多久、多少用户,负载
参考博客:CentOS下Uptime命令详解 - 服务器之家
2.账号安全入侵排查方法总结
解释:有人入侵进来之后,肯定会把自己的级别提到管理员,方便进行更多的操作,通过指令可以查看有哪些用户为管理员,也就是特权用户.
1、查询特权用户特权用户(uid 为0)
root㉿kali)-[/home/kali]
└─# awk -F: '$3==0{print $1}' /etc/passwd
2、查询可以远程登录的帐号信息
这里因为我没有进行远程登录页就不存在远程登录的信息,如果存在的话,就会出现上面查出的登录用户的加密的账号密码 ,例如出现如下所示 账号:密码 这种格式
kali:$y$j9T$k2TlXoYE./3ZfpPlC1rnz/$0GYCwPePph6GEy24/N8s7vVxlzwndL/DltBOhVQ1pLC:19799:0:99999:7:::
(root㉿kali)-[/home/kali]
└─# awk '/\$1|\$6/{print $1}' /etc/shadow
3、除root帐号外 o权限
more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)" # 其他的主机
─(root㉿kali)-[/home/kali]
└─# more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL:ALL) ALL"
命令的主要目的是检查sudoers文件中是否允许所有用户(ALL)在所有主机(ALL)上执行sudo命令。
4、禁用或删除多余及可疑的帐号
这里我先创建一个用户做一个案例:
sudo useradd -M hello 创建一个用户名为hello的用户
┌──(root㉿kali)-[/home/kali]
└─# sudo useradd -M hello
usermod -L user
禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头 user表示你查到的用
户名
剩下的这两个语句,用来删除确定是威胁的用户
userdel user 删除user用户
userdel -r user 将删除user用户,并且将/home目录下的user目录一并删除,有些人入侵完成删除自己用户的时候,可能忘记了加-r,那么在/home目录下是有它用户名的文件夹的,也就是存有相关信息。
2.查看历史命令确定目标
基本使用:
通过 .bash_history 查看帐号执行过的系统命令
1、root的历史命令
首先切换到用户(例如root)的用户目录,然后输入下面的命令
history N 显示最近的N条命令,例如history 5
history -d N 删除第N条命令,这个N就是前面的编号,例如history -d 990
history -c 清空命令历史 (包括缓存和文件)
history -a 将当前会话中的命令历史写入指定文件
history -w:把缓存中的历史命令写入历史命令保存文件~/.bash_history(显然每个用户有自己的文件)
2、查看普通帐号的历史命令
打开/home各帐号目录下的 .bash_history ,为历史的命令增加登录的IP地址、执行命令时间等信息:
1)保存1万条命令,默认只保存1000条
sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile
2)在 /etc/profile 的文件尾部添加如下行数配置信息:
######***************######### USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'` if [ "$USER_IP" = "" ] then USER_IP=`hostname` fi export HISTTIMEFORMAT="%F %T $USER_IP `whoami` " shopt -s histappend export PROMPT_COMMAND="history -a" ######### ************** ##########
vim /etc/profile
然后按I键,进行输入,将上面的写入文件中,最后按:wq,进行写入
3) source /etc/profile 让配置生效
再执行history指令,生成效果:
第一条记录 什么时候执行的 哪个ip地址过来执行的 用的哪个用户 执行的什么指令
1 2024-05-9 12:45:39 192.168.xxx.1 root source /etc/profile
3、历史操作命令的清除: history -c
但此命令并不会清除保存在文件中的记录,因此需要手动删除 .bash_profile 文件中的记录。入侵者如果能力比较强的,也会把这个文件删除。
总结
对系统进行入侵排查也是比较费时间和精力的一次行动,本篇目前只记录这么多,后续会继续记录和总结.