蓝队应急基本内容排查

时间：2024-07-29 10:32:12浏览次数：16

标签：savefile grep etc read 蓝队 echo 排查 cat 应急

检查脚本：
serity-scan.sh:


#! /bin/bash

file='/tmp/security_file';
if [ -f "$file" ];then
	echo ""
else
	touch $file;
fi
savefile='tee -a /tmp/security_file';
echo "用户角度筛查：" | $savefile ;
echo "用户信息：" |$savefile ;
echo "1.1：passwd:" |$savefile ;
cat /etc/passwd|$savefile;
echo -e '\n'|$savefile;
echo "1.2：影子文件："|$savefile;
cat /etc/shadow|$savefile;
echo -e '\n'|$savefile;

echo "1.3：特权账户列表："|$savefile;
awk -F: '$3==0{print $1}' /etc/passwd |$savefile;
echo -e '\n' |$savefile;
cat /etc/passwd |grep x:0 |$savefile;
echo -e '\n'|$savefile;

echo "1.4：当前登录用户(tty本地 pts远程)："|$savefile;
who |$savefile;
echo -e '\n'|$savefile;
w|$savefile;
echo -e '\n'|$savefile;
uptime|$savefile;
echo -e '\n' |$savefile;

echo "1.5：可以登录的用户："|$savefile;
cat /etc/passwd|grep -v nologin |grep -v false |$savefile;


echo "2：基于历史命令的角度排查(所有用户)："|$savefile;
echo "root用户："|$savefile;
cat /root/.bash_history|$savefile;
echo -e "\n"|$savefile;
for username in `ls /home/`;
do
echo "$username 用户:"|$savefile 
cat /home/$username/.bash_history |$savefile
echo -e '\n'|$savefile;
done;

echo "3：基于网络端口排查："|$savefile;
netstat -antp |$savefile;
echo -e '\n'|$savefile;

echo "4：基于进程排查："|$savefile;
echo "4.1：所有进程："|$savefile;
ps -aux |$savefile;
echo -e '\n' |$savefile;
echo "4.2：cpu占用前十的进程："|$savefile;
ps aux --sort=pcpu |head -10|$savefile;
echo -e "\n" |$savefile;
echo "4.3:内存占用前十的进程："|$savefile;
ps -aux --sort=-%mem |head -n 10 |$savefile;
echo -e "\n" |$savefile;

echo "5：基于开机启动项排查："|$savefile;
echo "/etc/rc.local:" |$savefile;
cat /etc/rc.local | $savefile;
echo -e "\n" |$savefile;
for runlevel in {0..6};do
	echo "/etc/rc.d/rc${runlevel}.d/:"
	ls -al /etc/rc.d/rc${runlevel}.d/
	echo -e "\n" |$savefile;
done

echo "6：基于定时任务排查："|$savefile;
for usercrontab in `ls /var/spool/cron/`;do
	echo "${usercrontab}的定时任务："|$savefile
	cat /var/spool/cron/${usercrontab}|$savefile
	echo -e "\n"|$savefile;
done

for usercrontab in `ls /etc/cron.d/`;do
	echo "/etc/cron.d/${usercrontab} :"|$savefile
	cat /etc/cron.d/${usercrontab} |$savefile
	echo -e "\n" |$savefile;
done

echo "7：基于服务的排查："|$savefile;
echo "7.1:开机自启动："|$savefile;
chkconfig --list |$savefile;
echo -e "\n"|$savefile;
echo "7.2：systemctl自启动服务:"|$savefile;
systemctl list-unit-files |grep enabled|$savefile;
echo -e "\n"|$savefile;



echo "8：排查host文件："|$savefile;
cat /etc/hosts|$savefile;
echo -e '\n'|$savefile;

echo '9：日志分析排查：'|$savefile;
echo "9.1：root账户爆破登录情况："|$savefile;
grep "Failed password for root" /var/log/secure |awk '{print $11}'|sort |uniq -c |sort -nr|$savefile;
echo -e "\n" |$savefile;
echo "9.2：root账户成功登录的相关信息："|$savefile;
grep "Accepted" /var/log/secure |awk '{print $1,$2,$3,$9,$11}'| sort |uniq -c|sort -nr |$savefile;

echo "排查脚本执行完毕"|$savefile;
./security_func.sh;

功能脚本：
security_func.sh：

while true
	do
	echo "linux应急排查：";
	echo "0:退出";
	echo "1:删除用户";
	echo "2:查看与可疑IP连接下对应的pid";
	echo "3:监控指定进程/应用下线程数(输入pid/应用名称如:sshd)";
	echo "4:监控某端口网络客户连接数";
	echo "5:查看文件的相关信息";
	read -p "输入数字：" func_name
	case "${func_name}" in
		"0")
		exit 0
		;;
		"1")
		read -p "输入用户名：" username
		passwd -d ${username}
		echo "键入回车"
		read
		;;
		"2")
		read -p "输入可疑连接IP：" ip_addr
		netstat -antlp | grep ${ip_addr} |awk '{print $7}'|cut -f1 -d"/"
		echo "键入回车"
		read
		;;
		"3")
		read -p "输入应用名称或pid：" monitor_name
		if [[ ${monitor_name} =~ ^[0-9]+$ ]]; then
			top -p ${monitor_name}
		else 
			ps -eLf |grep ${monitor_name}|wc -l
		fi
		echo "键入回车"
		read
		;;
		"4")
		read -p "输入端口号：" monitor_port
		echo "tcp:"
		netstat -n |grep tcp |grep ${monitor_port} |wc -l 
		echo "udp:"
		netstat -n |grep udp |grep ${monitor_port} |wc -l
		echo "键入回车"
		read
		;;
		"5")
		read -p "输入文件路径：" monitor_path
		stat ${monitor_path}
		echo "键入回车"
		read
		;;
		*)
		echo "请输入0-5之间的数字"
		;;
	esac
done

标签：savefile,grep,etc,read,蓝队,echo,排查,cat,应急
From： https://www.cnblogs.com/blue-red/p/18329549

Java如何通过日志排查问题
问题：大家有没有遇到过这样一种场景，在一个接口或者方法当中，业务逻辑很复杂，方法嵌套调用层级很深，此时要定位业务流程的走向，是不是要在每个方法中打日志，而这些日志是不串联的，比如，一个接口调用下来，程序没有报错，但没有按预期执行，怎么排查，就得翻这个方法调用时的每一条记录日志，而代......
【HW系列】事中迎战(6)：应急响应
本章为该系列的第16篇，也是事中迎战的第6篇。如果说体现攻击队综合能力的方式是打攻防，那对于防守方来说，体现综合能力的方式就是应急响应。今天不讲理论，本篇通过一个虚构的应急案例，来看看前几篇所讲的内容如何应用在实战中。我觉得如果攻击方死盯着一个目标打，是一定会突破的，我们在......
Redis变慢的原因及排查方法-系统方面
原因1：实例内存达到上限1）排查思路如果Redis实例设置了内存上限maxmemory，那么也有可能导致Redis变慢。当把Redis当做缓存使用时，通常会给这个实例设置一个内存上限maxmemory，然后设置一个数据淘汰策略。而当实例的内存达到了maxmemory后，可能会发现，在此之后每次写入新数据......
记最近一次紧张的sip客户端问题排查
我司开发了一个sip软电话客户端（sip协议常用于网络音视频通讯），基于开源的linphonesdk，使用C#CPF框架开发，.netcore运行时。有windows版本和uos版本。windows版本之前说是要支持视频，CPF里面支持视频只找到一个办法，就是NativeElement控件使用winform的pictureBox来显示，只能用4.x版本的......
项目环境出现PHP 502 Bad Gateway 问题排查
一、现象昨天运维人员被告知，在升级完客户集群环境后，访问管理页面偶尔会报502BadGateway。登录客户环境，发现只要请求分发到node2，就会报502，开始解决问题... 二、排查思路1、看到502第一时间想到的应该是php-fpm出问题了，先看下nginx日志，连接被对端关闭，说明php-fpm......
24帕鲁杯应急响应
应急响应-1题目要求：找到JumpServer堡垒机中flag标签的值。提交格式：[堡垒机中flag标签的值]：[BrYeaVj54009rDIZzu4O]应急响应-2题目要求：提交攻击者第一次登录时间。提交格式：[2024/00/00/00:00:00]：[2024/04/1114:21:18]应急响应-3题目要求：提交攻击者源IP。提交格式：......
【金融数据】应急响应处置
术语1、数据安全事件，datasecurityincident由于人为原因、软硬件缺陷或故障、恶意程序攻击或自然灾害等因素，使得网络或信息系统中的数据被篡改、泄漏、窃取或滥用、丢失，对国家安全、公共利益或个人、机构合法权益造成负面影响的事件。2、数据安全事件应急响应，datasecurity......
Linux之关闭时间自动同步失败问题排查
问题描述出于某些原因，需要手动对两台服务器的时间进行修改，并且关闭掉时间同步。服务器信息描述主机A：RedHatEnterpriseLinuxServerrelease7.9(Maipo)主机B：Ubuntu18.04.6LTS可能影响时间的配置（1）crontab（自己配置的）（2）服务器上的其它系统程序修改步骤（1）crontab-l，......
VUE 排查400 (Bad Request)和解决这个问题
排查400(BadRequest)和解决这个问题，可以按照以下步骤进行：检查URL和端点：确保URLhttp://127.0.0.1:8008/basicApp/BS037HModel/是正确的，并且该端点在服务器上存在。检查请求参数：确认发送请求时的任何参数都是正确的，包括查询参数、请求体和头部信息。检查后端错误日志：查......
在K8S中，容器提供一个服务，外部访问慢，到底是容器网络问题？还是容器服务问题？这种怎么排查？
在K8S（Kubernetes）中，当容器提供的服务外部访问慢时，可能是由容器网络问题或容器服务问题中的一个或多个因素导致的。为了有效排查这个问题，可以按照以下步骤进行：一、初步排查检查外部访问方式：确认外部是通过哪种方式访问服务的，如LoadBalancer、NodePort、Ingress等。检查相应的......

蓝队应急基本内容排查

相关文章

赞助商

阅读排行