linux应急响应填坑神tips

道哥的谜底 2021-06-28

582

Linux系统应急响应中，常用事件分析方式包括：日志分析（/var/log/*日志文件，如secure日志记录了远端IP登录情况）、文件分析（常见ps、netstat文件替换成病毒文件，执行DoS拒绝服务攻击）、进程分析、服务分析、启动项分析、命令分析（last、stat、history、find、grep）等。

你看到的命令是全部的命令记录吗？

History命令，可以查看linux的系统命令执行历史情况，在系统运维和安全溯源过程中帮助寻找历史记录。但是history命令是否包含可信的、完整的命令清单呢？通过如下实验一起探索：

场景一：

远程命令执行漏洞，执行系统命令。

常见的反序列化远程命令执行漏洞，攻击者可远程执行命令，包括系统命令如ifconfig、whoami、bash反弹等。

在Linux history命令中，无法找到远程命令执行的命令记录。

场景二：反弹shell，执行系统命令。

在反弹shell或者远程命令执行bash反弹命令后，通过反弹的shell输入linux系统命令，history可以记录。（前提是，该反弹bash的会话log off后。）

场景三：内网代理，如regeorg，

执行内网扩散命令。

通过regeorg等内网代理工具部署tunnel.jsp，流量通过正向代理的方式被转发到目标内网服务器上。在内网流量视角，体现为DMZ web服务器向内网服务器发起探测攻击，但实际命令从外网攻击机发起，DMZ web服务器仅作转发，其上history不会记录该部分命令。

你看到的时间是真实的行为时间吗？

在应急分析中，文件时间可以帮助分析人员快速了解事件发生时间、攻击行为时间等，梳理时间线。

在windows环境下，文件时间有三类，创建时间、修改时间、访问时间。“复制、粘贴”文件，文件的“修改时间”保持不变；

在linux环境下，文件时间有三类，atime、mtime、ctime，其中atime表示文件最后一次访问时间、mtime表示文件内容最后修改时间、ctime表示文件权限等属性最后修改时间，“cp”命令复制新文件时，新文件“modify time”会改变，以新文件产生时间作为“modify time”时间。

场景一：远程命令执行漏洞，上传文件。

常见的反序列化远程命令执行漏洞，攻击者可远程执行命令、上传文件（如webshell），上传文件过程可指定文件存储位置、文件名、文件内容。文件mtime为上传动作时间。

因此，通过Linux后台的stat命令查看mtime属性，可以判断攻击者恶意上传文件的时间。

场景二：文件上传漏洞，上传文件。

常见的文件上传漏洞，攻击者可通过文件上传接口，传输文件（如webshell），文件通常保存在攻击者本地，文件mtime为文件上传时间。

因此，通过Linux后台的stat命令查看mtime属性，可以判断攻击者恶意上传文件的时间。

在有限的测试场景中，已发现上述实验情况及结论。欢迎大家后台留言，提供更多测试场景，丰富并完善实验结论。

linux

文章转载自道哥的谜底，如果涉嫌侵权，请发送邮件至：contact@modb.pro进行举报，并提供相关证据，一经查实，墨天轮将立刻删除相关内容。

linux应急响应填坑神tips

评论