基本流程

1. 接到应急指令后，一般都需要到客户现场去处理的，最好带上电脑和笔记本。
2. 到达现场后，跟客户沟通，我方需要确认一些信息，方便定(shuai)位(guo)问题。
3. 无论是挖矿还是菠菜，流程都差不多，

找出问题 –> 解决问题 –> 编写报告

账号排查

账号安全

1、用户信息文件 /etc/passwd

# 格式：account:password:UID:GID:GECOS:directory:shell
# 用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后的 shell
root:x:0:0:root:/root:/bin/bash

# 查看可登录用户：
cat /etc/passwd | grep /bin/bash
# 查看UID=0的用户
awk -F: '$3==0{print $1}' /etc/passwd
# 查看sudo权限的用户
more /etc/sudoers | grep -v "^#\|^#34; | grep "ALL=(ALL)"

2、影子文件：/etc/shadow

# 用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留
root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::

3、查看当前登录用户及登录时长

4、排查用户登录信息

• 查看最近登录成功的用户及信息

# 显示logged in表示用户还在登录
# pts表示从SSH远程登录
# tty表示从控制台登录，就是在服务器旁边登录
last

• 查看最近登录失败的用户及信息：

# ssh表示从SSH远程登录
# tty表示从控制台登录
sudo lastb

5、历史命令

在排查服务器的时候，黑客没有在线，可以使用last命令排查黑客什么时间登录的有的黑客登录时，会将/var/log/wtmp文件删除或者清空，这样我们就无法使用last命令获得有用的信息了。 在黑客入侵之前，必须使用**chattr +a对/var/log/wtmp**文件进行锁定，避免被黑客删除

通过.bash_history文件查看帐号执行过的系统命令： 打开 /home 各帐号目录下的 .bash_history，查看普通帐号执行的历史命令。 为历史的命令增加登录的 IP 地址、执行命令时间等信息：

# 1、保存1万条命令：
sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile

# 2、在/etc/profile的文件尾部添加如下行数配置信息：
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "
shopt -s histappend
export PROMPT_COMMAND="history -a"

# 3、让配置生效
source /etc/profile

注意：历史操作命令的清除：history -c 该操作并不会清除保存在文件中的记录，因此需要手动删除.bash_profile文件中的记录

入侵排查：

重点关注以下目录中是否存在恶意脚本;

/var/spool/cron/* 
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/* 
/etc/cron.hourly/* 
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*

查询已安装的服务：
RPM 包安装的服务：

chkconfig  --list  查看服务自启动状态，可以看到所有的RPM包安装的服务
ps aux | grep crond 查看当前服务

系统在3与5级别下的启动项 
中文环境
chkconfig --list | grep "3:启用\|5:启用"

英文环境
chkconfig --list | grep "3:on\|5:on"

源码包安装的服务:

查看服务安装位置 ，一般是在/user/local/
service httpd start
搜索/etc/rc.d/init.d/  查看是否存在

进程排查

1. 查看当前系统状态(top)

2. 查看当前系统进程信息(ps)

3. 查看非root运行的进程(ps)

4. 查看用户root运行的进程(ps)

5. 查看有没有奇怪进程(ps)

ps -aef | grep inetd

6. 检测隐藏进程(ps)

ps -ef | awk '{print}' | sort -n |uniq >1

或

ls /proc | sort -n |uniq >2

7. 检测系统守护进程(ls)

任务及用户活动排查

1. 查看当前有谁登陆在服务器上(who)

2. 查看当前登陆用户的IP信息(who)

3. 查看空口令账号(awk)

awk -F: '($2=="")' /etc/shadow

4. 查看uid为0的账号(awk)

awk -F: '($3==0)' /etc/passwd

5. 查看uid为0的账号(grep)

grep -v -E "^#" /etc/passwd | awk -F: '$3==0{print $1}'

6. 查看进程树是否所有异常进程存在一个父进程、判断进程的父子关系(pstree)

7、计划任务排查：

需要注意的几处利用cron的路径：

crontab -l  # 列出当前用户的计时器设置
crontab -r  # 删除当前用户的cron任务

上面的命令实际上是列出了/var/spool/cron/crontabs/root该文件的内容：

• /etc/crontab只允许root用户修改
• /var/spool/cron/存放着每个用户的crontab任务，每个任务以创建者的名字命名
• /etc/cron.d/将文件写到该目录下，格式和/etc/crontab相同
• 把脚本放在/etc/cron.hourly/、/etc/cron.daily/、/etc/cron.weekly/、/etc/cron.monthly/目录中，让它每小时/天/星期/月执行一次

小技巧：more /etc/cron.daily/* 查看目录下所有文件

网络排查

说明：挖矿病毒避免不了要跟主机通信

1. 列出本机所有的连接和监听的端口，查看有没有非法连接(netstat)

2. 查看谁在使用某个端口(lsof)

3. 查看多个进程号对应的文件信息(lsof)

4. 查看所有tcp网络连接信息(lsof)

5. 查看所有udp网络连接信息(lsof)

文件排查

说明：服务器被入侵后，攻击者基本上都需要修改一些文件来维持脚本的运行

1. 查看所有文件，包括隐藏的文件(ls)

2. 查看文件路径(whereis)

3. 查看文件创建时间(ls)

4. 查找最近24小时内修改过的文件(find)

5. 查找以.txt结尾的文件名(find)

6. 查找不是以.txt结尾的文件(find)

日志排查

日志简介

日志默认存放位置：/var/log/

查看日志配置情况：more /etc/rsyslog.conf

比较重要的几个日志： 登录失败记录：/var/log/btmp //lastb 最后一次登录：/var/log/lastlog //lastlog 登录成功记录: /var/log/wtmp //last 登录日志记录：/var/log/secure

日志分析技巧

Linux下常用的shell命令如：find、grep 、egrep、awk、sed

小技巧：

1、grep显示前后几行信息:

标准unix/linux下的grep通过下面參数控制上下文：

grep -C 5 foo file 显示file文件里匹配foo字串那行以及上下5行

grep -B 5 foo file 显示foo及前5行

grep -A 5 foo file 显示foo及后5行

查看grep版本号的方法是

grep -V

2、grep 查找含有某字符串的所有文件

grep -rn "hello,world!" 

- : 表示当前目录所有文件，也可以是某个文件名

-r 是递归查找

-n 是显示行号

-R 查找所有文件包含子目录

-i 忽略大小写

3、如何显示一个文件的某几行：

cat input_file | tail -n +1000 | head -n 2000

#从第1000行开始，显示2000行。即显示1000~2999行

4、find /etc -name init

//在目录/etc中查找文件init

5、只是显示/etc/passwd的账户

`cat /etc/passwd |awk  -F ':'  '{print $1}'`  

//awk -F指定域分隔符为':'，将记录按指定的域分隔符划分域，填充域，$0则表示所有域,$1表示第一个域,$n表示第n个域。

6、sed -i '153,$d' .bash_history

删除历史操作记录，只保留前153行

/var/log/secure

1、定位有多少IP在爆破主机的root帐号：    
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

定位有哪些IP在爆破：
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

爆破用户名字典是什么？
 grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

2、登录成功的IP有哪些：     
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

登录成功的日期、用户名、IP：
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' 

3、增加一个用户kali日志：
Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001
Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali
, shell=/bin/bash
Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali
#grep "useradd" /var/log/secure 

4、删除用户kali日志：
Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'
# grep "userdel" /var/log/secure

5、su切换用户：
Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)

sudo授权执行:
sudo -l
Jul 10 00:43:09 localhost sudo:    good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now