Linux|应急响应入门之Linux分析排查 PHP|操作系统

文章图片

文章图片

文章图片

文章图片

文章图片

文章图片

文章图片

文章图片

文章图片

文章图片

文章图片

文章图片

文章图片

文章图片

前言：当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。
针对常见的攻击事件，结合工作中应急响应事件分析和解决的方法，总结了一些 Linux 服务器入侵排查的思路。
01文件分析-敏感文件信息在linux系统下一切都是文件，其中/tmp是一个特别的临时目录文件。每个用户都可以对它进行读写操作。因此一个普通用户可以对/tmp目录执行读写操作。
查看敏感目录文件，如 tmp目录、可执行程序目录/usr/bin， /usr/sbin等
1.使用la -alt / 查找tmp目录

【一>所有资源关注我，私信回复”资料“获取<一】

1、200份很多已经买不到的绝版电子书

2、30G安全大厂内部的视频资料

3、100份src文档

4、常见安全面试题

5、ctf大赛经典题目解析

6、全套工具包

7、应急响应笔记

2.使用ls —help 查看帮助信息

3.ls的常用用法：
ls 用来显示目录列表
-a 显示所有档案及目录
-l 以长格式显示目录下的内容列表
-t 用文件和目录的更改时间排序

4.进入tmp目录，查找最近新添加的可疑文件。

02文件分分析-敏感文件信息查看开机启动项内容/etc/init.d/ ，恶意代码很有可能设置在开机启动的位置。
查看指定目录下文件时间顺序的排序：ls -alt | head -n 10