检测系统中的任何入侵是迈向事件响应的非常重要的一步。事件响应非常广泛,但是从小处着手总是更好。在执行事件响应时,您应始终专注于可疑系统以及可能存在漏洞的区域。利用事件响应,您可以在主要级别检测到大量攻击。
事件响应的目的不过是实时取证。可以进行调查以获得任何数字证据。本文主要关注如何在Linux系统中执行事件响应。因此,要开始使用该备忘单,请打开Linux计算机并打开终端以完成这些命令。
目录
- 什么是事件响应
- 用户帐号
- 日志条目
- 系统资源
- 工艺流程
- 服务
- 档案
- 网络
什么是事件响应?
可以将事件响应定义为在发生计算机或网络安全事件时采取的措施。作为事件响应者,您应该始终了解系统中应该存在和不应存在的内容。
可以通过以下方式解决的安全事件:
- 通过检查运行过程
- 通过了解物理内存的内容。
- 通过收集有关主机名,IP地址,操作系统等的详细信息
- 收集有关系统服务的信息。
- 通过识别所有已知和未知用户登录到系统。
- 通过检查网络连接,打开端口和任何网络活动。
- 通过确定存在的各种文件
用户帐号
作为事件响应者,调查用户帐户的活动非常重要。它可以帮助您了解已登录的用户,现有用户,常规或异常登录,失败的登录尝试,权限,通过sudo的访问等。各种用于检查用户帐户活动的命令:
识别系统中是否存在可疑帐户。这个cat命令通常会获取有关用户帐户的所有信息。为此,请键入
| 1 | cat /etc/passwd |
Linux中的'Setuid'选项是唯一文件权限。因此,在Linux系统上,当用户想要更改密码时,他们可以运行“ passwd”命令。由于根帐户被标记为setuid,因此您可以获得临时权限。
| 1 | passwd -S [User_Name] |
Grep用于在纯文本中搜索与正则表达式匹配的行。:0:用于在/ etc / passwd文件中显示“ UID 0”文件。
| 1 | grep :0: /etc/passwd |
要识别并显示攻击者是否创建了任何临时用户来执行攻击,请键入
| 1 | find / -nouser -print |
/ etc / shadow包含加密的密码,有关密码的详细信息,并且只能由root用户访问。
| 1 | cat /etc/shadow |
组文件显示用户使用的组的信息。要查看详细信息,请键入
| 1 | cat /etc/group |
如果要查看有关要显示的用户和组特权的信息,则可以查看/ etc / sudoers文件。
| 1 | cat /etc/sudoers |
日志条目
要查看特定用户或Linux系统中所有用户的最新登录报告,您可以输入,
| 1 | lastlog |
要识别系统中任何奇怪的SSH和telnet登录名或身份验证,可以转到/ var / log /目录,然后键入
| 1 | tail auth.log |
SSH日志
Telnet日志
要查看用户键入的命令的历史记录,可以键入较少的历史记录,甚至可以提及上次键入的命令数。要查看历史记录,您可以输入
| 1 | history | less |
系统资源
系统资源可以告诉您很多有关系统日志记录信息,系统正常运行时间,内存空间和系统利用率等信息。
要了解您的Linux系统是否已超时运行,或者要了解服务器已运行了多长时间,系统中的当前时间,当前已登录的用户数以及系统的平均负载,则可以输入
| 1 | uptime |
要查看Linux中系统的内存利用率,系统中已使用的物理内存和交换内存以及内核使用的缓冲区,您可以输入,
| 1 | free |
作为事件响应者,可以检查ram的详细信息,可用内存空间,系统上的缓冲区和交换,您可以键入
| 1 | cat /proc/meminfo |
作为事件响应者,您有责任检查系统上是否存在未知的安装,并检查系统上是否存在安装,您可以输入
| 1 | cat /proc/mounts |
工艺流程
作为事件响应者,当您查看系统生成的输出时,应该始终保持好奇心。您的好奇心应迫使您查看系统中当前正在运行的程序,是否需要运行,是否应该运行以及这些进程的CPU使用率等。
要获得Linux系统中运行的所有进程的动态实时视图,系统信息摘要以及进程列表及其ID号或由Linux内核管理的线程的摘要,您可以使用
| 1 | top |
查看Linux的进程状态以及当前正在运行的进程系统和PID。为了识别可能表明Linux系统中存在任何恶意活动的异常进程,您可以使用
| 1 | ps aux |
要显示有关特定流程的更多详细信息,您可以使用,
| 1 | lsof –p [pid] |
服务
Linux系统中的服务可以分为系统服务和网络服务。系统服务包括服务状态,cron等,网络服务包括文件传输,域名解析,防火墙等。作为事件响应者,您可以确定服务中是否存在异常。
要查找任何异常运行的服务,可以使用
| 1 | service –-status-all |
事件响应者应查找任何可疑的计划任务和工作。要查找计划任务,您可以使用,
| 1 | cat /etc/crontab |
要解决DNS配置问题并利用包含可提供各种类型的解析器信息的值的关键字列表,可以使用
| 1 | more /etc/resolv.conf |
要检查将主机名或域名转换为IP地址的文件,这对于测试对网站或SSL设置的更改很有用,您可以使用
| 1 | more /etc/hosts |
要检查和管理Linux系统中的IPv4数据包过滤和NAT,可以使用iptables并可以使用各种命令,例如:
| 1 | iptables -L -n |
档案
作为事件响应者,您应该注意系统中任何外观异常的文件。
要确定系统中任何过大的文件及其目标位置的权限,可以使用
| 1 | find /home/ -type f -size +512k -exec ls -lh {} \; |
只要运行任何命令(将SUID 位置1),该命令 的有效 UID 就会成为该文件的所有者。因此,如果要查找所有包含SUID 位的文件, 则可以通过键入以下命令来检索它
| 1 | find /etc/ -readable -type f 2>/dev/null |
作为事件响应者,如果您想查看系统中已有2天的异常文件,则可以使用以下命令,
| 1 | find / -mtime -2 -ls |
网络设置
作为事件响应者,您应该敏锐地关注网络活动和设置。确定系统网络的整体状况及其运行状况至关重要。要获取网络活动信息,可以使用各种命令。
要查看系统上的网络接口,可以使用
| 1 | ifconfig |
要列出所有正在监听其PID的端口的进程,可以使用
| 1 | lsof -i |
要显示网络中的所有侦听端口,请使用
| 1 | netstat -nap |
要显示系统ARP缓存,您可以输入
| 1 | arp -a |
$ PATH显示目录列表,该目录告诉shell搜索可执行文件的目录,以便检查路径中可以使用的目录。
| 1 | echo $PATH |
结论:
因此,人们可以将这些命令用作事件响应程序,并使Linux系统远离威胁。