0x00 前言
本周是在安恒实习的第三个星期,虽然实习之后忙碌了很多但是在过程中学习到了很多很多。本周一周都在某单位进行应急响应安全排查和windows的基线配置,这些事情在平时学习的过程中根本遇不到,所以来做一下简单的归纳和总结。同时还发现了一个个人问题就是自实习之后晚上回家就变成了懒狗orz。下周一定要调整过来
由于我还是个萌新所以肯定会有很多纰漏,后面学到了新的会进行补充
0x01 基础信息
内核版本 uname -a
查看系统版本 Centos、Ubuntu lsb_release -a
cat /proc/version(通用)
0x01 Linux安全排查
linux应急排查主要从如下这几个方面来进行判断
- 查看历史命令有无异常命令
- 查看是否有可疑用户存在
- 查看/var/log/secure中是否有爆破等日志记录
- 查看是否有可疑的定时任务
- 查看是否有可疑的网络连接
- 查看是否有可疑的进程
- 查看是否有可疑的自启动项目
- 查看是否存在webshell
查看历史命令
history
cat .bash_history
查看是否存在可疑用户
查看是否存在和root一样的特权用户awk -F: '$3==0{print $1}' /etc/passwd
查看登录失败日志
lastb
查看用户登录情况
lastlog
查看是否存在可疑定时任务
crontab -l
查看是否存在可疑网络连接
netstat -anlpt
如果发现可疑连接查看对应的pid即可知道具体信息
ls -l /proc/PID/exe
查看是否存在可疑进程
ps -aux
如发现可疑进程定位如上方法
查看可疑的开机自启程序
systemctl list-unit-files
查看是否存在webshell
可以利用edr、gscan等工具扫描然后人工进行排查
0x03 windows安全排查
windows系统的排查和linux其实整体也是大差不差的
- 查看异常网络连接
- 查看异常进程
- 查看异常启动
- 查看可疑用户
- 查看日志
查看是否有新增可疑账号
lusrmgr.msc
查看安全日志,windows日志,安全
eventvwr.msc
查找异常端口
netstat -ano
跟进异常端口
wmic process pid
查看敏感启动项目
msconfig
0x04 汇总
Linux:
操作系统版本 lsb_release -a
用户登录情况 lastlog
查看日志文件 cat /var/log/secure
查看爆破痕迹 grep “Failed password” /var/log/secure
记录错误登录 lastb
用户最后一次登录的时间 lastlog
记录用户登录注销 last
查看可以用户 awk -F: ‘$3==0{print $1}’ /etc/passwd
查看远程登录的账号 其他存在sudo权限的账号 more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
查看用户创建的时间 stat /home/对应用户/.bash_history
检查异常端口 netstat -antlp|more (查看可疑端口)
查看pid服务 ls -l /proc/pid号/exe
检查异常进程 ps -aux 或者 ps -ef
寻找命令 find 路径 -name “*.pyc”
检查开机启动项 runlevel
开机启动的配置文件 cat /etc/rc.local
异常进程 kill -9 对应的pid号
查看定时任务 crontab -l
删除定时任务 crontab -r
/var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*
Windows
查看是否有可疑新增账号 lusrmgr.msc
查看管理员登录时间 eventvwr.msc windows日志 -》 安全
检查异常端口 netstat -ano
找出对应的pid进行跟进 wmic process pid进程号
查看是否有敏感启动项目 msconfig
日志查看时间分析器 eventvwr.msc
0x05 windows基线配置
这个相对之前的简单很多 根据文档中的内容进行一一排查,调整时间,开启日志审核,密码次数限制等。
就是在配置过程中需要严格按照要求来,有的基线是不能修改的,改了之后就会影响正常的业务
木头师傅加油