《精编》UNIX、Linux应急响应检查清单

资源描述

《《精编》UNIX、Linux应急响应检查清单》由会员分享，可在线阅读，更多相关《《精编》UNIX、Linux应急响应检查清单（8页珍藏版）》请在金锄头文库上搜索。

1、UNIX Linux 应急响应检查清单应急响应检查清单文档编号文档编号密级密级版本编号版本编号日期日期目录目录一系统后门程序 1 1 1 CHKROOTKIT 0 49 MINI SH 1 1 2 CHKROOTKIT 1 1 3 ROOTKIT HUNTER 2 二用户及用户文件 2 2 1 PASSWD文件 2 2 1 1 文件权限 2 2 1 2 用户检查 2 2 2 SHADOW文件 3 2 3 UID 信息 3 2 4 SHELL日志 3 三系统日志分析 3 3 1 MESSAGES日志 3 3 2 CRON日志 3 3 3 SECURE日志 4 3 4 LAST日

2、志 4 四网络连接 4 4 1 当前登录用户 4 4 2 端口开放情况 5 五进程与服务 5 5 1 进程信息 5 5 2 服务信息 5 六文件系统 5 6 1 SUID 5 6 2 文件完整行检查 5 七信息收集与提交 6 一一系统后门程序系统后门程序 1 1 chkrootkit 0 49 Mini sh 顾名思义 chkrootkit 0 49 Mini sh 是 chkrootkit 的 Mini 版其内容全部来自 chkrootkit 但仅限于脚本实现部分可用于没有安装 make 或 make sense 无法通过的主机 chkrootkit 0 49 Mini sh

3、为 sh 脚本在大部分系统上可顺利运行其检测主要以 rootkit 等恶意程序常用的文件名目录为检查对象因此虽方便运行但并不能完全替代 chkrootkit 和 rootkit Hunter 使用方法 chkrootkit 0 49 Mini sh 或 chmod x chkrootkit 0 49 Mini sh chkrootkit 0 49 Mini sh 1 2 chkrootkit chkrootkit 是一款用于 UNIX Linux 的本地 rootkit 检查工具 chkrootkit 官方站点 http www chkrootkit org 一般操作指南下载 c

4、hkrootkit wget c ftp br pub seg pac chkrootkit tar gz 编译 tar xvzf chkrootkit tar gz cd chkrootkit xx make sense 检测 rootkit chkrootkit q 若使用 Live CD 启动主机将原主机硬盘被入侵挂接在 mnt 下我们可以使用 r 参数指定被入侵主机的根目录进行离线检查 chkrootkit 最终仅输出可疑的项目 chkrootkit q r mnt 1 3 Rootkit Hunter Rootkit Hunter 结果比 chkrootkit 更为详细和精

5、准若有条件建议使用 Rootkit Hunter 对系统进行二次复查 Rootkit Hunter 官方站点 http www rootkit nl projects rootkit hunter html Rootkit Hunter 下载访问一般操作指南安装 Rootkit Hunter tar xvzf rkhunter xx tar gz cd rkhunter xx install sh layout default install 若自定义安装路径需执行 install layout custom custom path install 使用 Rootkit Hunter

6、 rkhunter check 若自定义安装目录需写全路径二二用户及用户文件用户及用户文件 2 1 passwd 文件文件 2 1 1 文件权限文件权限 etc passwd 默认权限为 644 其最小权限为 444 首先应对该文件权限进行检查以确认配置是否正确 ls l etc passwd 2 1 2 用户检查用户检查查看 passwd 文件内容 cat etc passwd 查看是否存在可疑帐号 2 2 shadow 文件文件 shadow 默认权限为 600 最小权限为 400 检查权限配置是否正确 ls l etc shadow 2 3 UID 信息信息 passwd 文

7、件中每行用户信息以冒号间隔其中第三段为用户 UID 检查除 root 用户外是否存在其他用户的 UID 为 0 也可执行命令 awk F 3 0 print etc passwd 若 UID 0 则打印本行信息 2 4 Shell 日志日志 Bash 日志存储于用户目录的 bash history 文件中存储条目数量与 shell 变量 HISTSIZE 有关三三系统日志分析系统日志分析 3 1 messages 日志日志 Solaris 的 messages 日志位置为 var adm messages RedHat 的 messages 日志位置为 var log messag

8、es messages 中记录有运行信息和认证信息对于追查恶意用户的登录行为有很大帮助例如下面即为一条 su 日志 Mar 22 11 11 34 abc PAM pwdb 999 authentication failure cross uid 500 root for su service 3 2 cron 日志日志 Solaris 的 cron 日志默认记录在 var cron log 中 RedHat 的 cron 日志默认记录在 var log cron 中 3 3 secure 日志日志 Linux 的 ssh 登录日志会存储于 var log secure 中若日志中出现

9、连续大量的登录错误信息则可能意味着远程主机在尝试破解 ssh 登录口令 3 4 last 日志日志 last 命令用于查看最近的用户登录情况 last 命令读取 wtmp 内容在 Linux 还中还存在 lastlog 命令用于查看系统内所有帐户最后一次登录信息该命令读取 var log lastlog 内容四四网络连接网络连接 4 1 当前登录用户当前登录用户执行 w 命令可以确定当前哪些用户已登录系统输出信息中个列含义 USER 字段显示当前登录系统的用户名 TTY 字段显示分配给用户会话的终端 ttyX 表示在控制台登录 pts X 和 ttypX 表示网络连接 F

10、ROM 字段显示远程登录主机的 IP 地址 LOGIN 字段显示登录用户的本地起始时间 IDLE 字段显示最近一个进程运行开始算起的时间长度 JCPU 字段显示在该控制台或网络连接的全部进程所用的时间 PCPU 字段显示 WHAT 栏中当前进程所使用的处理器时间 WHAT 字段显示用户正在运行的进程 4 2 端口开放情况端口开放情况使用 netstat anp Solaris 使用 netstat an 命令查看当前开放的端口使用 lsof i 仅限 Linux 显示进程和端口对应关系五五进程与服务进程与服务 5 1 进程信息进程信息 Linux 系统中使用命令 ps aux 查看进程

11、 Solaris 系统中使用命令 ps eaf 查看进程 5 2 服务信息服务信息 Linux 系统下可以使用 chkconfig list 查看服务启动信息各服务的启动脚本存放在 etc init d 和 etc xinetd d 目录下 Solaris 系统下服务可以通过 svcadm 或 inetadm 命令进行管理六六文件系统文件系统 6 1 SUID 使用命令 find perm 004000 type f 输出所有设置了 SUID 的文件 6 2 文件完整行检查文件完整行检查在 RedHat Linux 等以 rpm 作为包管理工具的系统中使用 rpm 命令可搜索自 r

12、pm 包安装后发生了变化的程序 rpm Va 列举全部软件包的变化情况 rpm V package 列举某个程序包的变化情况七七信息收集与提交信息收集与提交为快速收集信息提供连个用于收集信息的 perl 脚本 IRIC RHL PL 运行于 RedHat Linux 的信息收集脚本 IRIC SOL PL 运行于 Solaris 的信息收集脚本脚本收集以下信息 passwd 文件权限和内容所有用户的 UID 值用户在线登录信息进程列表网络连接信息服务列表所有的 bash history 内容摘自 rootkit hunter 的 rootkit 关键文件及目录检测

13、与 chkrootkit 类似 Last 命令输出信息脚本使用方法 Perl IRIC RHL PL 或 chmod x IRIC RHL PL IRIC RHL PL 脚本创建目录 NSF0CUS ER REPORT 并在目录中产生以 NSF0CUS RH CHKER 为前缀或 NSF0CUS SOL CHKER 的 LOG 文件以上信息外还需现场工程师协助收集以下日志文件到 NSF0CUS ER REPORT logs 目录下 messages Linux var log messages Solaris var adm messages secure Linux var log secure Solaris 无此文件收集前应该使用 du sh var log messages 命令判断日志是否过大若过大则根据现场情况只取特定时间段的日志或最后产生的日志

展开阅读全文