背景信息:这段时间集团护网,个人结合自己的工作经历,整理了几种常见的机器被黑后排查情况供参考,以下情况是在kali2022的系统中查看的,其它Linux发行版类似。
查看日志信息是否还存在或者是否被清空
ll -h /var/log/*
查看/etc/passwd及/etc/shadow文件是否存在创建一个新的存放用户名及密码文件
ll /etc/passwd
ll /etc/shadow
查看/etc/passwd及/etc/shadow文件是否存在修改用户名及密码文件
more /etc/passwd
more /etc/shadow
查看机器最近成功登陆的事件和最后一次不成功的登陆事
对应日志“/var/log/lastlog”
lastlog
查看机器当前登录的全部用户
对应日志文件“/var/run/utmp”
Who
查看机器所有用户的连接时间(小时),对应日志文件“/var/log/wtmp”
ac -dp
查看/var/log/secure日志文件尝试发现入侵者的信息
查询异常进程所对应的执行脚本文件
top命令查看异常进程对应的PID,在虚拟文件系统目录查找该进程的可执行文件
另外,今天小老虎在B站给大家上传了一套我们闫辉老师的授课视频,包含了,NA至IE阶段的内容,有需要的小伙伴也可移步B站学习~
