✍内容

文件检查

🎇历史命令

  • root用户执行过的历史命令
    • /root/.bash_history
  • 对应的用户执行过的历史命令
    • /home/{username}/.bash_history
  • 当前用户执行过的历史命令
    • history

1、快速备份历史命令,然后检查

1
cd /tmp
1
mkdir cmd
1
cd cmd
1
cp ~/.bash_history root_history
1
2
3
find /home -name .bash_history -exec cat {} \; > /tmp/cmd/user_history
OR  
find /home -name .bash_history | xargs cat > /tmp/cmd/user_history

注意:一般是.bash_history,但是具体的看安装的命令行是什么,比如kali使用的是zsh,所以历史命令在.zsh_history中

🎇系统关键文件

/etc/passwd
用户和密码
/etc/shadow
用户和密码
/etc/group
群组
/etc/profile
运行的初始文件,root目录下和用户目录下也有,可以自定义变量

/root/.bashrc或者/root/.zshrc
一些终端设置
/root/.bash_logout
退出时做的命令

.ssh目录下的authorized_keys文件

攻击者可以将自己的ssh的公钥上传到这个文件夹,然后可以通过密钥登录ssh

这些关键性文件也是先备份一下

🎇系统关键目录

/tmp
/var/tmp
/dev/shm/

以上的几个目录默认可读可写,一般攻击者的自动化脚本都会在这几个目录

命令检查

/usr/bin/netstat
/usr/bin/ps
/usr/sbin/lsof
/usr/bin/md5sum
/usr/sbin/ss
/usr/bin/stat

以上的命令可能会被串改,所以必须要检查下

系统安装包检查

centos

列出所有的安装的rpm包
rpm -qa
校验所有的安装的rpm包
rpm -V -a
校验指定的文件或者命令
rpm -V -f /etc/sysconfig

日志文件检查

secure

记录与安全相关的信息

lastlog

用户最后一次登录时间,lastlog命令查看

wtmp

永久的记录用户的登录、注销及系统的启动、停机的事件

btmp

尝试登录失败的日志

messages

各种系统守护进程、用户程序和内核相关信息

cron

crontab日志

audit/*

监控系统调用

boot.log

启动信息相关日志

系统启动检查

/etc/rc.local

centos中用户可以在其中添加脚本命令,系统在启动时加载,centos6中可以直接使用,但是centos7中需要在设置中允许

systemctl list-unit-files –type=service | grep enable

查询系统自启动