应急响应总结小tips-CSDN博客

本文链接：https://blog.csdn.net/zmx999999/article/details/147094943

Linux应急响应小tips

1、Accepted ：SSH 成功登录的关键字 Failed 失败

2、lastlog 系统中所有用户最近一次登录信息

3、ll -ath /www | grep “^d” 看以d开头的所有文件(隐藏)

4、远程传输

ftp 文件传输协议明文传输不安全先进行配置
再ftp 靶机ip 输入账号密码 (ls cd get put mput quit )

ssh 用户名@目标ip 输入密码目标机不能关机

Windows用的rdp协议 remote desktop protocol

5、scp传输文件
scp 本地文件用户名@服务器IP:/远程路径 # 上传

scp 用户名@服务器IP:/远程文件本地路径 # 下载

端口映射

6、 phpMyAdmin 配置文件 config.inc.php

7、ini_set()函数，这是蚁剑的特征函数

8、运行 env 命令会列出当前 Shell 中的所有环境变量及其值

9、mysql数据库简单命令
mysql -u root -p 回车输入密码

mysql -uroot -ppassword 输出

show databases
use databases
show tables
select * from tables

10、grep -r “192.168” 路径递归过滤目录下含有关键词的文件并显示

-E 使用正则表达式选项

-n 输出包含匹配字符串的行数

11、关于ssh后门
auth.log记录认证相关的信息，比如ssh登录成功或失败，这很关键，因为很多入侵都是通过暴力破解SSH进入的。
然后是/var/log/secure，不过这可能是在Red Hat系系统上，而auth.log是在Debian系。

日志123

12、需要排查数据库，就要找到账号密码，一般在配置文件config.inc.php中

find / -name config.inc.php

13、数据库没有线索就找有没有流量

find / -name “*.pcap”

14、常见的漏洞扫描工具；

Nmap：

功能：网络发现和安全审核工具，能扫描开放端口和识别服务。

优点：强大的脚本引擎，广泛用于网络探测。

Nessus：

功能：全面的漏洞扫描器，能够检测已知漏洞、配置错误和缺失的补丁。

优点：详细的报告和分析，广泛支持多种操作系统。

OpenVAS：

功能：开放源代码的漏洞扫描工具，提供全面的漏洞管理功能。

优点：定期更新的漏洞数据库，强大的扫描能力。

Metasploit：

功能：渗透测试框架，集成了漏洞扫描和攻击模块。

优点：强大的漏洞利用库和自动化测试功能。

fscan：

功能：快速网络扫描和漏洞检测工具，适用于渗透测试和信息收集。

优点：轻量级，扫描速度快，易于使用。

Goby：

功能：安全评估工具，具备全面的漏洞扫描能力和自动化漏洞检测功能。

优点：用户界面友好，支持多种扫描模式和报告生成。

QualysGuard：

功能：基于云的漏洞扫描和管理平台。

优点：易于部署和管理，实时更新漏洞数据库。

Burp Suite：

功能：用于Web应用程序安全测试，包含漏洞扫描和攻击工具。

优点：强大的插件系统和灵活的配置选项。

15、
sort -nr 排序函数
sort 命令用于对输入进行排序。-n 选项按数值排序，-r 选项表示按降序排列。这个命令对提取出的第一列内容进行数值降序排序。

uniq -c 统计次数
uniq 命令用于过滤重复的行，并输出每行出现的次数。-c 选项表示在输出每行前加上该行的出现次数。

16、漏洞扫描-玄机靶场wp实战篇 - 运维杰克
各种常见扫描工具！！！！

17、日志排查参考img的三张图片

18、 ping
ICMP Echo 请求是主机存活探测的核心手段，常见于以下工具：
高速扫描工具：Masscan、ZMap（大规模网络测绘）。

综合扫描工具：Nmap（存活探测阶段）。

专用工具：Fping（批量存活检测）。

19、netstat -tunlp

用 ps ：关注进程的运行状态和资源占用（如 CPU/内存）。

用 lsof ：关注进程的文件和网络资源（如端口、打开的文件）。

组合使用：先用 ps 确认进程状态，再用 lsof 深入排查问题。

20、常见服务端口！！！！

21、
后门

一句话木马 + 蚁剑更常用
原因如下：

易部署：仅需上传一个文件，无需复杂配置。

隐蔽性：流量隐藏在正常 HTTP 请求中。

持久化：可长期驻留，通过蚁剑随时连接。

反弹 Shell ：

针对性使用，常见于：

渗透测试中需要快速获取交互式 Shell。

内网穿透或绕过防火墙限制（如目标服务器仅允许出站 HTTP/HTTPS）。

21、

找系统上所有具有 SUID 权限的文件

find / -perm -u=s -type f 2>/dev/null

SUID只对可执行文件生效，不对php文件生效

22、
文件分析
针对单个文件的分析，stat
历史命令文件在home目录下 /root/.bash_history
tail -f 文件名
23、find命令

find / -type f -name “” -perm 777

-mtime改 -atime访 -ctime增

23、
隐藏进程分析

ps -ef | awk ‘{print}’ | sort -n | uniq >1

ls /proc | sort -n |uniq >2

diff 1 2

24、

lastlog：系统中所有用户最近一次登录信息。

lastb命令，用于显示用户错误的登录列表

last命令，用于显示用户最近登录信息

25、
最常见的Webshell文件内容中常见的恶意函数：

PHP
Eval、System、assert、……

JSP
getRunTime、 FileOutputStream、……

ASP
eval、execute、 ExecuteGlobal、……

26、
(1)定时任务crontab -l

重点关注：
curl wget

任务中调用了 /tmp/、/dev/shm/ 或其他非常规目录下的脚本

高频执行：如 * * * * *（每分钟执行一次）的可疑任务。

编码或混淆

(2) ll排查主要定时文件

/etc/crontab ：系统主配置文件，定义全局定时任务。

/etc/cron.d/ ：存放额外的系统级定时任务配置文件。

/etc/cron.hourly、/etc/cron.daily、/etc/cron.weekly、/etc/cron.monthly ：按周期执行的脚本目录。

/etc/anacrontab ：用于非 24/7 运行的系统的定时任务（如笔记本电脑）。

(3) 排查脚本启动目录

/etc/init.d/ ：存放系统服务启动脚本的目录（SysVinit 系统）。

重点关注:
随机字符串，近期修改，可疑权限

(4)当前用户的PATH环境变量

就是系统查找可执行文件的路径顺序

正常 PATH

/usr/local/sbin:/usr/sbin:/sbin:/usr/bin:/bin

异常 PATH（包含可疑路径）

/tmp/malicious:/usr/local/sbin:/usr/sbin…

awk ‘{print $7}’ /var/log/nginx/access.log | grep “.php” | sort | uniq -c | sort -nr

27、系统日志

Linux所有日志都在/var/log

1、syslog/messages:
记录系统全局日志（如服务启动、内核消息、硬件事件）

2、auth.log/secure:
记录用户认证相关日志（记录用户登录、SSH 连接、sudo 权限提升等行为）

3、web服务器日志(/var/log/apache2/access.log)或(/var/log/nginx/access.log)

记录 HTTP 请求的详细信息（IP、URL、状态码、User-Agent）

4、计划任务日志（/var/log/cron）参考第26点

5、yum.log/dpkg.log:
安装、升级、删除软件记录

6、内核日志（/var/log/dmesg 或 /var/log/kern.log）

记录内核和驱动加载信息

28、命令查看日志
last：用于显示用户最近登录信息。
单独执行last命令，它会读取/var/log/wtmp的文件，并把该给文件的内容记录的登入系统的用户名单全部显示出来；