日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

UNIX應(yīng)急響應(yīng)攻略( 三 )

云知道


Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ACC ] STREAM LISTENING 2753 756/ /tmp/.font-unix/fs-1
……(以下省略)
在Solaris,HP-UX,AIX,FreeBSD,Linux上可以使用lsof工具列舉所有運行進程及其所打開的文件描述符 , 其中包括常規(guī)文件 ,
庫文件 , 目錄 , UNIX流 , 套接字等 。如果只想顯示網(wǎng)絡(luò)套接字的進程:
[root@ay4z3ro foo]# lsof –i
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
portmap 620 rpc 3u IPv4 2598 UDP *:sunrpc
portmap 620 rpc 4u IPv4 2609 TCP *:sunrpc (LISTEN)
sshd 880 root 3u IPv4 2885 TCP *:ssh (LISTEN)
X 908 root 1u IPv4 2945 TCP *:x11 (LISTEN)
其中特別需要注意的是奇怪的進程和已打開的原始套接字 。
================================
尋找系統(tǒng)中是否運行一個非法嗅探器
================================
為了達到這個目的 , 我們需要檢查網(wǎng)卡是否處于混雜(promiscuous)模式:
[root@ay4z3ro foo]# ifconfig –i eth0 | grep PROMISC
PROMISC標(biāo)志并不會在所有的*NIX上出現(xiàn) , 通過lsof ps命令可以判斷系統(tǒng)是否正運行一個嗅探器 ?;蛘咄ㄟ^第三方的工具 , 比如AntiSniff 。
=================
檢查/proc文件系統(tǒng)
=================
在/proc/$PID/目錄下對于調(diào)查比較有意義的是:exe鏈接 , fd子目錄 , cmdline文件 。
[root@ay4z3ro 880]# ls -al
total 0
dr-xr-xr-x 3 root root 0 Sep 20 19:53 ./
dr-xr-xr-x 62 root root 0 Sep 20 15:07 ../
-r--r--r-- 1 root root 0 Sep 20 19:54 binfmt
-r--r--r-- 1 root root 0 Sep 20 19:54 cmdline
lrwxrwxrwx 1 root root 0 Sep 20 19:54 cwd -> //
-r-------- 1 root root 0 Sep 20 19:54 environ
lrwxrwxrwx 1 root root 0 Sep 20 19:54 exe -> /usr/sbin/sshd*
dr-x------ 2 root root 0 Sep 20 19:54 fd/
-r--r--r-- 1 root root 0 Sep 20 19:54 maps
-rw------- 1 root root 0 Sep 20 19:54 mem
-r--r--r-- 1 root root 0 Sep 20 19:54 mounts
lrwxrwxrwx 1 root root 0 Sep 20 19:54 root -> //
-r--r--r-- 1 root root 0 Sep 20 19:54 stat
-r--r--r-- 1 root root 0 Sep 20 19:54 statm
-r--r--r-- 1 root root 0 Sep 20 19:54 status
Exe鏈接允許我們恢復(fù)被刪除的文件 , 只要這些文件仍然運行 。為獲得“已刪除可執(zhí)行文件的備份 , 只需要使用cp命令在該文件系統(tǒng)上
創(chuàng)建一個拷貝就行 。通過檢查fd子目錄 , 可以識別該進程打開的所有文件 。如果對Unix環(huán)境下的編程有所了解的話 , 很容易就能發(fā)現(xiàn)
是在讀寫一個文件還是打開一個網(wǎng)絡(luò)連接 。cmdline文件的內(nèi)容是該進程的完整命令行 。以下語句是攻擊者的欺騙手段,
strcpy(argv[0],any_string);
這樣該文件就顯示了一種假象 , 即使如此 , 我們?nèi)杂斜匾獧z查此文件 。
==================================
獲取所有文件的創(chuàng)建 , 修改和訪問時間
==================================
ls –alRu > /mnt/usb/access
ls –alRc > /mnt/usb/modification
ls –alR > /mnt/usb/creation
============
獲取系統(tǒng)日志
============
大多數(shù)UNIX的日志在/var/log和/var/adm目錄下 , 各種UNIX派生系統(tǒng)日志的具體位置有所不同 。
在此之前 , 有必要了解針對特定系統(tǒng)的日志存貯位置 。
比較重要的二進制日志文件:
utmp,用w工具訪問;
wtmp,用last工具訪問;
lastlog,用lastlog工具訪問;
進程記賬日志,用astcomm工具訪問
常見的ASCII文本日志文件:
apache日志--/var/log/httpd/access_log;
ftp日志—xferlog;
命令歷史記錄文件;
/var/log/messages;
檢查/etc/syslog.conf以及其他守護進程的配置文件以確定其余日志的位置 。
================
獲取重要配置文件
================

推薦閱讀