首页 > 其他分享 >蓝队应急基本内容排查

蓝队应急基本内容排查

时间:2024-07-29 10:32:12浏览次数:16  
标签:savefile grep etc read 蓝队 echo 排查 cat 应急

检查脚本:
serity-scan.sh:


#! /bin/bash

file='/tmp/security_file';
if [ -f "$file" ];then
	echo ""
else
	touch $file;
fi
savefile='tee -a /tmp/security_file';
echo "用户角度筛查:" | $savefile ;
echo "用户信息:" |$savefile ;
echo "1.1:passwd:" |$savefile ;
cat /etc/passwd|$savefile;
echo -e '\n'|$savefile;
echo "1.2:影子文件:"|$savefile;
cat /etc/shadow|$savefile;
echo -e '\n'|$savefile;

echo "1.3:特权账户列表:"|$savefile;
awk -F: '$3==0{print $1}' /etc/passwd |$savefile;
echo -e '\n' |$savefile;
cat /etc/passwd |grep x:0 |$savefile;
echo -e '\n'|$savefile;

echo "1.4:当前登录用户(tty本地 pts远程):"|$savefile;
who |$savefile;
echo -e '\n'|$savefile;
w|$savefile;
echo -e '\n'|$savefile;
uptime|$savefile;
echo -e '\n' |$savefile;

echo "1.5:可以登录的用户:"|$savefile;
cat /etc/passwd|grep -v nologin |grep -v false |$savefile;


echo "2:基于历史命令的角度排查(所有用户):"|$savefile;
echo "root用户:"|$savefile;
cat /root/.bash_history|$savefile;
echo -e "\n"|$savefile;
for username in `ls /home/`;
do
echo "$username 用户:"|$savefile 
cat /home/$username/.bash_history |$savefile
echo -e '\n'|$savefile;
done;

echo "3:基于网络端口排查:"|$savefile;
netstat -antp |$savefile;
echo -e '\n'|$savefile;

echo "4:基于进程排查:"|$savefile;
echo "4.1:所有进程:"|$savefile;
ps -aux |$savefile;
echo -e '\n' |$savefile;
echo "4.2:cpu占用前十的进程:"|$savefile;
ps aux --sort=pcpu |head -10|$savefile;
echo -e "\n" |$savefile;
echo "4.3:内存占用前十的进程:"|$savefile;
ps -aux --sort=-%mem |head -n 10 |$savefile;
echo -e "\n" |$savefile;

echo "5:基于开机启动项排查:"|$savefile;
echo "/etc/rc.local:" |$savefile;
cat /etc/rc.local | $savefile;
echo -e "\n" |$savefile;
for runlevel in {0..6};do
	echo "/etc/rc.d/rc${runlevel}.d/:"
	ls -al /etc/rc.d/rc${runlevel}.d/
	echo -e "\n" |$savefile;
done

echo "6:基于定时任务排查:"|$savefile;
for usercrontab in `ls /var/spool/cron/`;do
	echo "${usercrontab}的定时任务:"|$savefile
	cat /var/spool/cron/${usercrontab}|$savefile
	echo -e "\n"|$savefile;
done

for usercrontab in `ls /etc/cron.d/`;do
	echo "/etc/cron.d/${usercrontab} :"|$savefile
	cat /etc/cron.d/${usercrontab} |$savefile
	echo -e "\n" |$savefile;
done

echo "7:基于服务的排查:"|$savefile;
echo "7.1:开机自启动:"|$savefile;
chkconfig --list |$savefile;
echo -e "\n"|$savefile;
echo "7.2:systemctl自启动服务:"|$savefile;
systemctl list-unit-files |grep enabled|$savefile;
echo -e "\n"|$savefile;



echo "8:排查host文件:"|$savefile;
cat /etc/hosts|$savefile;
echo -e '\n'|$savefile;

echo '9:日志分析排查:'|$savefile;
echo "9.1:root账户爆破登录情况:"|$savefile;
grep "Failed password for root" /var/log/secure |awk '{print $11}'|sort |uniq -c |sort -nr|$savefile;
echo -e "\n" |$savefile;
echo "9.2:root账户成功登录的相关信息:"|$savefile;
grep "Accepted" /var/log/secure |awk '{print $1,$2,$3,$9,$11}'| sort |uniq -c|sort -nr |$savefile;

echo "排查脚本执行完毕"|$savefile;
./security_func.sh;

功能脚本:
security_func.sh:

while true
	do
	echo "linux应急排查:";
	echo "0:退出";
	echo "1:删除用户";
	echo "2:查看与可疑IP连接下对应的pid";
	echo "3:监控指定进程/应用下线程数(输入pid/应用名称如:sshd)";
	echo "4:监控某端口网络客户连接数";
	echo "5:查看文件的相关信息";
	read -p "输入数字:" func_name
	case "${func_name}" in
		"0")
		exit 0
		;;
		"1")
		read -p "输入用户名:" username
		passwd -d ${username}
		echo "键入回车"
		read
		;;
		"2")
		read -p "输入可疑连接IP:" ip_addr
		netstat -antlp | grep ${ip_addr} |awk '{print $7}'|cut -f1 -d"/"
		echo "键入回车"
		read
		;;
		"3")
		read -p "输入应用名称或pid:" monitor_name
		if [[ ${monitor_name} =~ ^[0-9]+$ ]]; then
			top -p ${monitor_name}
		else 
			ps -eLf |grep ${monitor_name}|wc -l
		fi
		echo "键入回车"
		read
		;;
		"4")
		read -p "输入端口号:" monitor_port
		echo "tcp:"
		netstat -n |grep tcp |grep ${monitor_port} |wc -l 
		echo "udp:"
		netstat -n |grep udp |grep ${monitor_port} |wc -l
		echo "键入回车"
		read
		;;
		"5")
		read -p "输入文件路径:" monitor_path
		stat ${monitor_path}
		echo "键入回车"
		read
		;;
		*)
		echo "请输入0-5之间的数字"
		;;
	esac
done

标签:savefile,grep,etc,read,蓝队,echo,排查,cat,应急
From: https://www.cnblogs.com/blue-red/p/18329549

相关文章

  • Java如何通过日志排查问题
    问题:大家有没有遇到过这样一种场景,在一个接口或者方法当中,业务逻辑很复杂,方法嵌套调用层级很深,此时要定位业务流程的走向,是不是要在每个方法中打日志,而这些日志是不串联的,比如,一个接口调用下来,程序没有报错,但没有按预期执行,怎么排查,就得翻这个方法调用时的每一条记录日志,而代......
  • 【HW系列】事中迎战(6):应急响应
    本章为该系列的第16篇,也是事中迎战的第6篇。如果说体现攻击队综合能力的方式是打攻防,那对于防守方来说,体现综合能力的方式就是应急响应。今天不讲理论,本篇通过一个虚构的应急案例,来看看前几篇所讲的内容如何应用在实战中。我觉得如果攻击方死盯着一个目标打,是一定会突破的,我们在......
  • Redis变慢的原因及排查方法-系统方面
    原因1:实例内存达到上限1)排查思路如果Redis实例设置了内存上限maxmemory,那么也有可能导致Redis变慢。当把Redis当做缓存使用时,通常会给这个实例设置一个内存上限maxmemory,然后设置一个数据淘汰策略。而当实例的内存达到了maxmemory后,可能会发现,在此之后每次写入新数据......
  • 记最近一次紧张的sip客户端问题排查
    我司开发了一个sip软电话客户端(sip协议常用于网络音视频通讯),基于开源的linphonesdk,使用C#CPF框架开发,.netcore运行时。有windows版本和uos版本。windows版本之前说是要支持视频,CPF里面支持视频只找到一个办法,就是NativeElement控件使用winform的pictureBox来显示,只能用4.x版本的......
  • 项目环境出现PHP 502 Bad Gateway 问题排查
    一、现象昨天运维人员被告知,在升级完客户集群环境后,访问管理页面偶尔会报502BadGateway。登录客户环境,发现只要请求分发到node2,就会报502,开始解决问题... 二、排查思路1、看到502第一时间想到的应该是php-fpm出问题了,先看下nginx日志,连接被对端关闭,说明php-fpm......
  • 24帕鲁杯应急响应
    应急响应-1题目要求:找到JumpServer堡垒机中flag标签的值。提交格式:[堡垒机中flag标签的值]:[BrYeaVj54009rDIZzu4O]应急响应-2题目要求:提交攻击者第一次登录时间。提交格式:[2024/00/00/00:00:00]:[2024/04/1114:21:18]应急响应-3题目要求:提交攻击者源IP。提交格式:......
  • 【金融数据】应急响应处置
    术语1、数据安全事件,datasecurityincident由于人为原因、软硬件缺陷或故障、恶意程序攻击或自然灾害等因素,使得网络或信息系统中的数据被篡改、泄漏、窃取或滥用、丢失,对国家安全、公共利益或个人、机构合法权益造成负面影响的事件。2、数据安全事件应急响应,datasecurity......
  • Linux之关闭时间自动同步失败问题排查
    问题描述出于某些原因,需要手动对两台服务器的时间进行修改,并且关闭掉时间同步。服务器信息描述主机A:RedHatEnterpriseLinuxServerrelease7.9(Maipo)主机B:Ubuntu18.04.6LTS可能影响时间的配置(1)crontab(自己配置的)(2)服务器上的其它系统程序修改步骤(1)crontab-l,......
  • VUE 排查400 (Bad Request)和解决这个问题
    排查400(BadRequest)和解决这个问题,可以按照以下步骤进行:检查URL和端点:确保URLhttp://127.0.0.1:8008/basicApp/BS037HModel/是正确的,并且该端点在服务器上存在。检查请求参数:确认发送请求时的任何参数都是正确的,包括查询参数、请求体和头部信息。检查后端错误日志:查......
  • 在K8S中,容器提供一个服务,外部访问慢,到底是容器网络问题?还是容器服务问题?这种怎么排查?
    在K8S(Kubernetes)中,当容器提供的服务外部访问慢时,可能是由容器网络问题或容器服务问题中的一个或多个因素导致的。为了有效排查这个问题,可以按照以下步骤进行:一、初步排查检查外部访问方式:确认外部是通过哪种方式访问服务的,如LoadBalancer、NodePort、Ingress等。检查相应的......