banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

Linuxにおける緊急対応(基本的な知識の記録補完)

前の記事【Linux の緊急対応(基礎知識の記録)】は、この記事は補足記事であり、両方の記事を組み合わせて使用することができます。後で追加更新されます。

アカウントのセキュリティ#

Linux では、攻撃者は通常、アカウントを追加せず、大きな動きをします。

who
w
uptime
last

余分なおよび疑わしいアカウントを無効化または削除します。

sudo usermod --expiredate 1 ユーザー名 #ログインを禁止する
sudo userdel -r ユーザー名 #アカウントを削除する
awk -F: '($3 < 1000) {print $1,$3}' /etc/passwd #疑わしいアカウントが存在するかどうかを調べる

履歴コマンド#

history

各ユーザーのホームディレクトリの.bash_history ファイル

ポート#

疑わしいポート、IP、PID などの情報を分析します。

netstat -tnlp

ss -tnlp

プロセス#

ps -aux

起動時のアイテム#

systemctl list-unit-files --type=service #ubuntu

chkconfig --list | grep "3:enabled\|3:on\|5:enabled\|5:on" #centos

スケジュールされたタスク#

crontab -l

/var/spool/cron/*

/etc/cron/*

サービス#

chkconfig —list #contos

ログ#

デフォルトのログの保存場所:/var/log/*

設定ファイル:/etc/rsyslog.conf、/etc/syslog.conf

ログサービス:service auditd status

last

lastlog

lastb

各位置のログ情報は以下の通りです:

ログの位置説明
/var/log/messageコアシステムログファイルで、システムの起動、システムの実行状態、ほとんどのエラーメッセージなどが含まれています。
/var/log/dmesgコア起動ログで、システムの起動時のハードウェア関連情報が含まれています。
/var/log/auth.log または **/var/log/secure**認証ログで、成功したログイン、失敗したログイン試行、および認証方法が記録されます。
/var/log/spoolerUUCP およびニュースデバイスに関連するログ情報です。
/var/log/cronスケジュールされたタスクのログ情報です。
/var/log/maillogメールアクティビティの記録です。
/var/log/bootシステムのブートログです。
/var/log/wtmpおよび /var/run/utmpユーザーのログイン時間が記録されます。(last)
/var/log/kernカーネルのエラーおよび警告データの記録で、カスタムカーネルに関連する障害のトラブルシューティングに使用されます。
/var/log/btmpエラーログインログが記録されます。これはバイナリファイルです。(lastb)
/var/log/cups印刷情報のログです。
/var/log/lastlogシステム内のすべてのユーザーの最後のログイン時間が記録されます。これはバイナリファイルです。(lastlog)
/var/log/rpmpkgsシステムにインストールされている rpm パッケージのリスト情報が記録されます。

SSH ログ#

/var/log/auth.log #ubuntu

/var/log/secure

ログインに成功した IP を表示します。

grep “Accepted /var/log/auth.log | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more #ubuntu

grep ‘Accepted’ /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr #centos

ミドルウェアログ#

C:\WINDOWS\system32\LogFiles #iis

/etc/httpd/logs/ #httpd

/var/log/apache2または/usr/local/apache/logs #apache、具体的なパスは[httpd.co](https://httpd.co)nfファイルで定義されています

/var/log/nginx/access.log #nginx

localhost_access.log #tomcat、具体的なパスはconf/logging.propertiesファイルで定義されています

$MW_HOME\user_projects\domains\<domain_name>\servers\<server_name>\logs\access.log #weblogic9、$MW_HOMEはweblogicのインストールディレクトリです

$MW_HOME\user_projects\domains\<domain_name>\<server_name>\access.log #weblogic8

ファイル#

疑わしいファイル

find / -ctime -2 #72時間以内に作成されたファイルを表示

find ./ -**mtime** 0 -name*.jsp” #24時間以内に変更されたファイルを表示

find / *.jsp -perm 4777 #パーミッションが777のファイルを表示

find ./ -type f -perm /u+x -mtime -10 #最近10日間に変更され、実行可能なパーミッションを持つファイルを検索

セキュリティデバイス#

#シチュエーションアウェアネス #ハニーポット #ファイアウォール #IPS #IDS #WAF

参考#

https://github.com/Blue-number/Security/blob/9ade37050b1f8e164208191545d457d14a1e341d/1earn/Security/BlueTeam/%E5%BA%94%E6%80%A5.md#%E6%83%85%E6%8A%A5%E4%B8%AD%E5%BF%83

https://github.com/Lorna-Dane/Blue-Team/blob/8e0e2e9dde536bc3941b56f915165db764d7119e/%E5%BA%94%E6%80%A5/linux%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94%E6%89%8B%E5%86%8C.md

リソース#

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。