Linux系统应急响应

零、绪论
事件应急是指在系统出现问题的第一时间进行错误排查、入侵过程还原取证，入侵源追踪
等紧急处理。
知识点1、常见的分析入手点
（1）文件分析
（2）进程分析
（3）网络分析
（4）命令分析
（5）日志分析
一般而言：
命令分析中的一部分也是文件分析的一部分，也就是说命令分析中有一点是对命令源文件进行hash校验防止替换。

一、文件分析：
知识点1、敏感目录
（1）/tmp 临时文件
（2）/usr/bin , /usr/sbin , /bin 命令所在目录
（3）/etc/init.d 开机启动目录
知识点2、敏感文件
（1）/etc/rc.local 开机启动文件
（2）/root/.bash_history 命令执行历史信息文件
（3）/etc/password /etc/shadow 用户账户信息文件
（4）/etc/cron* 计划任务信息
知识点3、常用命令
（1）ls -alt [a 查看以.开头的隐藏文件；t 按时间排序；l 查看列表详细信息 ]
（2）取前x（x为正整数集合）项 head -n X
（3）查看文件详细信息 stat
（4）find ./ -mtime(ctime) x -name "*.php"
[-mtime 指不包含权限的文件修改时间]
[-ctime包含权限的文件修改时间]
[x 为天数 0-> 24h内 -1 -> 48h内 以此类推]
[-name 后面是文件名的正则
（5）查看文件权限 find ./*.py -perm 4777 [-perm 后面权限号]
（6）查看命令文件是否替换 可以直接MD5检查。

二、网络与进程分析
知识点一、查看进程
（1）ps aux
（2）连接grep使用，例如grep xxx 或者 grep -v xxx [-v 排出xxx]
知识点二、查看网络
（1）netstat -antlp | more 基本信息关联查看
（2）lsof -i port 查看端口对应程序
知识点三、查看隐藏进程
（1）ps -ef | awk ‘{print}‘ | sort -n | uniq > 1
ls /proc | sort -n | uniq >2
diff 1 2

三、系统信息分析
知识点1、history分析 /root/.bash_history 分析历史执行命令
知识点2、敏感文件分析（参考敏感文件）
知识点3、开机启动分析（chkconfig）
知识点4、用户信息分析cat /etc/passwd | grep -E "/bin/bash$"能登录的用户
知识点5、环境变量系统路径分析 echo $PATH
知识点6、ssh分析 /etc/ssh /etc/.ssh

四、日志分析
知识点1、日志文件
（1）/var/log/wtmp
（2）/var/run/utmp
（3）/var/log/lastlog
（4）/var/log/btmp
知识点2、关键字
（1）Accepted
（2）Failed
（3）password
（4）invalid
知识点3、登录日志分析
（1）lastlog最近几次登录成功和最后一次登录失败相关信息
（2）who 查询当前用户信息
（3）whois 类似（2）
（4）users 类似（2）
（5）lastb 类似（1）
（6）finger
知识点4、两条语句
（1）grep "Failed password for root" /var/log/auth.log | awk ‘{print $11}‘ | sort | uniq -nr | more
（2）grep "Accepted" /var/log/auth.log | awk ‘{print $11}‘ | sort |uniq -c | sort -nr | more

四、后门排查
知识点1、webshell查找
(a)命令：
find /var/www/ -name "*.php" | xargs egrep ‘assert | phpspy | c99sh | milw0rm | eval | \( gunerpress | \(bas464_encode | spider _bc | shell_exec | passthru | \(\$\_\POST\[|eval\(str_rotl3 | .chr\c|\$\{\"\_P|eval\C\$\_R | file_put_contents\C\.\*\$\_ | base64_decode‘

五、应用类日志的几个小技巧：
知识点1、
find .access_log | grep xargs ip a.b.c.d
find .access_log | grep xargs trojan_name
cat access.log | cut -f 1(ip)/4(url) "" | sort | uniq -c | sort -k | -r head -10
cat access.log | sort -k 2 -n -r | head -10