ECSC课堂 | 应急响应之Linux主机排查（一）（linux应急命令）

原标题：ECSC课堂 | 应急响应之Linux主机排查（一）

网络应急响应是指，当系统遭受病毒传播、网络攻击、黑客入侵等安全事件，导致信息业务中断、系统宕机、网络瘫痪、数据丢失时，企业需要第一时间进行处理，保证系统在最短时间内恢复正常工作，同时分析被入侵原因，还原入侵过程，溯源攻击者并提出解决方案和防范措施，减少网络安全攻击带来的损失。

本文主要讨论Linux遭受入侵后如何进行主机排查。

Linux中所有的用户信息都登记在/etc/passwd文件中，而/etc /shadow用于存储系统中用户的密码信息。这两个文件每一行都代表一个用户，使用“:”作为分隔符区分每个字段信息。

在进行主机用户排查时，可以结合这两个文件的某些字段信息，排查异常的用户。例如可通过/etc/passwd文件内是否有UID为0的异常用户（UID为0，则是系统管理员）。

然后通过/etc/shadow文件查看该异常用户最后一次修改密码的时间（自1970/1/1 起，密码被修改的天数），确认是否为管理员添加，否则该用户为异常用户。

crontab是一个命令，常见于Unix和类Unix的操作系统之中，用于设置周期性被执行的指令。crond正是它的守护进程，crond进程每分钟会定期检查是否有要执行的任务，如果有，则自动执行该任务。攻击者可能在沦陷的服务器中执行反弹shell的脚本或调用其他后门文件的命令写入crontab中设置定时启动，所以有必要对计划任务进行排查。

计划任务排查时需要查看cron相关的文件：/var/spool/cron/* 、/etc/cron.*、/etc/crontab 、/etc/anacrontab，检查是否有异常的cron事件。我们可通过以下命令进行查看分析：

history命令是被保存在内存中的，当退出或者登录shell时，会自动保存或读取。我们可以使用history命令查看攻击者的执行命令的历史记录。

大多数情况下攻击者在进行攻击后会清除入侵痕迹，清空当前历史命令，但清空当前历史命令对命令历史文件.bash_history没有影响，我们可通过.bash_history文件来查看用户执行命令情况。

.bash_history文件会存储当前用户执行命令的记录，查询某个用户在系统上执行了什么命令，可以检查/home目录下的用户主目录的.bash_history文件。

除上述Linux主机排查的方法外，如需了解更加全面的Linux主机排查方法以及更多的网络安全技术，敬请关注ECSC课程。

该培训主要面向企业或信息化部门负责人、网络安全工程师、企业网络安全攻防赛参赛队伍。课程包括政策解读、攻防技术、赛事技巧三大板块。

通过培训有助于提高企业对网络安全的认识，强化对网络安全基本要求的理解，提升网络安全工程师的安全防护能力，促进企业在网络安全领域的合规性建设和日常安全管理。

ECSC课堂 | MySQL安全事件排查

ECSC课堂 | Apache安全事件排查

ECSC课堂 | 3分钟 get 内存马查杀！

厦门安胜网络科技有限公司，成立于2015年4月。经过十余年的行业深耕，安胜已成为国内领先的网络空间安全和大数据智能化综合解决方案提供商。返回搜狐，查看更多

责任编辑：