① 查看外连信息,端口占用,进程信息,保存命令记录文件
查询进程调用,linux所有进程都在/proc下创建文件
netstat -tunlp
lsof -i:8080
ps aux | less
ls -l /proc/{(父)进程ID}
history > /root/history.bak
隐藏进程查看
ps -ef | awk '{print}' | sort -n | uniq >1
ls /proc | sort -n |uniq >2
diff 1 2
② 查看可以登录的用户
cat /etc/passwd | grep -E "/bin/bash$"
查看所有用户登录信息
lastlog #最近一次登录信息
lastb #错误的登录信息
③ 文件查找
1、最近24小时内修改过的文件
2、前48~24小时修改过的文件
1. find ./ -mtime 0
2. find ./ -mtime 1
1、最近30分钟修改的.php文件
2、60分钟内修改(新增)过的文件
1. find . -name '*.php' -mmin -30
2. find ./ -cmin -60
最近24小时修改的当前目录下的.php文件,并列出详细信息
find . -name '*.php' -mtime 0 -ls
指定用户创建的文件或文件夹
find /var/ftp/simon/ -user apache
指定目录下权限为为644的文件或文件夹
find ./ -perm 4777
-n n天以内 +n n天以前
-mtime -n +n 按更改时间查找
-atime -n +n 按访问时间查找
-ctime -n +n 按创建时间查找
文件查看
ls -altrh
④ 系统日志信息备份
⑤ 计划任务、环境变量、命令是否被替换
crontab -l
/etc/profile
ls -alt /usr/bin |head -10
⑥ 开机启动项
/etc/init.d/rc.local /etc/rc.local #查看rc.local文件
ls –alt /etc/init.d/
chkconfig
webshell排查 //误报率较高
find /var/www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_e xec|passthru|\(\$\_\POST\[|eval \(str_rot13|\.chr\(|\$\{\"\_P|eval\(\$\_R|file_put_contents\(\.\*\$\_|base64_decode'
stat命令 stat 会显示文件UID,文件名,文件属性,文件访问时间,文件内容修改时间,文件元数据变化时间,可以根据这些信息去查看文件变化
strace 命令 通过 strace 命令调试程序,可以看到程序的详细调用。作为一种动态跟踪工具,能够帮助运维高效地定位进程和服务故障。 —
① 进程及外联排查
netstat -ano #查看网络连接、定位可疑的ESTABLISHED
netstat -rn #路由信息
tasklist | findstr 1228 #根据netstat定位出的pid,在通过tasklist进行进程定位
wmic process | findstr "vmvare-hostd.exe" #获取进程全路径
任务管理器 重点排查以下内容
② 登录用户排查
query user #查看登录用户信息
logoff #踢出用户
wmic UserAccount get #列出所有账户
从注册表检查账户
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
HKLM\SAM\Domains\Account\
③ 系统情况
systeminfo #系统信息
④ 查看相关日志
eventvwr.msc #打开windows事件查看器
auditpol /get /category:* #日志审核策略
使用powershell命令查看日志
Get-EventLog-Get-EventLog命令指南
获取本地或远程计算机上的事件日志或事件日志列表中的事件。
Get-WinEvent-Get-WinEvent命令指南
从本地和远程计算机上的事件日志和==事件跟踪日志==文件中获取事件。
⑤内存分析
一、内存提取
1.使用系统自带功能,在计算机属性,系统属性,高级选项卡中选择“启动和故障恢复设置”,选择完全转储内存,然后点击确定,系统会提示重启。
2.使用 SysinternalsSuite工具集的notmyfault64工具,在使用管理员权限的命令行模式下(cmd、PowerShell),运行
NotMyFault64.exe /crash
二、内存分析
利用 Volatility 进行内存取证,分析入侵攻击痕迹,包括网络连接、进程、服务、驱动模块、DLL、handles、检测进程注入、检测Meterpreter、cmd历史命令、IE浏览器历史记录、启动项、用户、shimcache、userassist、部分rootkit隐藏文件、cmdliner等
利用Volatility进行入侵痕迹分析
⑥ 开机自启及服务
注册表中关于开机启动的位置
• HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
• HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
• HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
• (ProfilePath)\Start Menu\Programs\Startup
开始菜单启动项
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
本地组策略编辑器
gpedit.msc #查看开机运行脚本
使用 SysinternalsSuite 工具集的 Autoruns 工具查看开机启动项目 工具下载地址
==检查服务==
检查计划任务
存放计划任务的文件
• C:\Windows\System32\Tasks
• C:\Windows\SysWOW64\Tasks
• C:\Windows\tasks
• *.job(指文件)
schtasks /query #查询计划任务
taskschd.msc #计划任务程序
⑦ 检查文件
powershell命令Get-ChildItem查看操作文件 重点目录
⑧ 注册表检查
注册表目录含义
1、HKEY_CLASSES_ROOT(HKCR)
此处存储的信息可确保在Windows资源管理器中执行时打开正确的程序。它还包含有关拖放规则,快捷方式和用户界面信息的更多详细信息。
2、HKEY_CURRENT_USER(HKCU)
包含当前登录系统的用户的配置信息,包括用户的文件夹,屏幕颜色和控制面板设置。HKEY_USERS中特定于用户的分支的别名。通用信息通常适用于所有用户,并且是HKU.DEFAULT。
3、HKEY_LOCAL_MACHINE(HKLM)
包含运行操作系统的计算机硬件特定信息。它包括系统上安装的驱动器列表以及已安装硬件和应用程序的通用配置。
4、HKEY_USERS(HKU)
包含系统上所有用户配置文件的配置信息,包括应用程序配置和可视设置。
5、HKEY_CURRENT_CONFIG(HCU)
存储有关系统当前配置的信息。
一些重要的注册表键
hklm:\Software\Microsoft\Windows\CurrentVersion\policies\system
hklm:\Software\Microsoft\Active Setup\Installed Components
hklm:\Software\Microsoft\Windows\CurrentVersion\App Paths
hklm:\software\microsoft\windows nt\CurrentVersion\winlogon
hklm:\software\microsoft\security center\svc
hkcu:\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths
hkcu:\Software\Microsoft\Windows\CurrentVersion\explorer\RunMru
hklm:\Software\Microsoft\Windows\CurrentVersion\explorer\Startmenu
hklm:\System\CurrentControlSet\Control\Session Manager
hklm:\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders
hklm:\Software\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved
hklm:\System\CurrentControlSet\Control\Session Manager\AppCertDlls
hklm:\Software\Classes\exefile\shell\open\command
hklm:\BCD00000000
hklm:\system\currentcontrolset\control\lsa
hklm:\Software \Microsoft\Windows\CurrentVersion\Explorer\BrowserHelper Objects
hklm:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
hkcu:\Software\Microsoft\Internet Explorer\Extensions
hklm:\Software\Microsoft\Internet Explorer\Extensions
hklm:\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions
利用注册表编辑器的搜索功能,根据进程名称、服务名称、文件名称搜索注册表。