Linux|应急响应入门之Linux分析排查

Linux|应急响应入门之Linux分析排查

文章图片

Linux|应急响应入门之Linux分析排查

文章图片

Linux|应急响应入门之Linux分析排查

文章图片

Linux|应急响应入门之Linux分析排查

文章图片

Linux|应急响应入门之Linux分析排查

文章图片

Linux|应急响应入门之Linux分析排查

文章图片

Linux|应急响应入门之Linux分析排查

文章图片

Linux|应急响应入门之Linux分析排查

文章图片

Linux|应急响应入门之Linux分析排查

文章图片

Linux|应急响应入门之Linux分析排查

文章图片

Linux|应急响应入门之Linux分析排查

文章图片

Linux|应急响应入门之Linux分析排查

文章图片

Linux|应急响应入门之Linux分析排查

文章图片

Linux|应急响应入门之Linux分析排查

文章图片


前言:当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时 , 急需第一时间进行处理 , 使企业的网络信息系统在最短时间内恢复正常工作 , 进一步查找入侵来源 , 还原入侵事故过程 , 同时给出解决方案与防范措施 , 为企业挽回或减少经济损失 。
针对常见的攻击事件 , 结合工作中应急响应事件分析和解决的方法 , 总结了一些 Linux 服务器入侵排查的思路 。
01文件分析-敏感文件信息在linux系统下一切都是文件 , 其中/tmp是一个特别的临时目录文件 。 每个用户都可以对它进行读写操作 。 因此一个普通用户可以对/tmp目录执行读写操作 。
查看敏感目录文件 , 如 tmp目录、可执行程序目录/usr/bin, /usr/sbin等
1.使用la -alt / 查找tmp目录


【一>所有资源关注我 , 私信回复”资料“获取<一】

1、200份很多已经买不到的绝版电子书

2、30G安全大厂内部的视频资料

3、100份src文档

4、常见安全面试题

5、ctf大赛经典题目解析

6、全套工具包

7、应急响应笔记
2.使用ls —help 查看帮助信息

3.ls的常用用法:
ls 用来显示目录列表
-a 显示所有档案及目录
-l 以长格式显示目录下的内容列表
-t 用文件和目录的更改时间排序

4.进入tmp目录 , 查找最近新添加的可疑文件 。

02文件分分析-敏感文件信息查看开机启动项内容/etc/init.d/ , 恶意代码很有可能设置在开机启动的位置 。
查看指定目录下文件时间顺序的排序:ls -alt | head -n 10