#1 unix高手必看!
unix高手必看!
UNIX应急响应攻略
*******************************
*author:ayazero *
*mail:drdos@163.com *
*homepage:overflow.nease.net *
*team:www.ph4nt0m.net *
*******************************
应急响应有一半是非技术的内容,制定一个合理的响应策略是至关重要的!
记住:现在开始对受害系统的每一步操作都可能改变已存在的证据或是导致敏感信息的丢失!
{{初始响应}}
目标:在进行司法鉴定复制之前获得系统中的易失数据,初步确定突发事件概况。
==============
创建响应工具包
==============
我们调查系统,必须以高度可信赖的程序执行命令,再加上备份与修复,创建一个工具包是很有必要的。
即使在非UNIX/LINUX系统上,创建工具包也应该作为响应的第一步。
首先,我们需要在对应体系结构的系统上编译响应期间需要的工具,且编译程序需要考虑系统兼容的问题。
通常我们需要如下的工具:
ls dd des file pkginfo
find icat lsof md5sum nc
netstat pcat perl ps strace
strings truss df vi
cat kstat ifconfig chkrootkit
more gzip last w rm
script bash modinfo lsmod
读者可根据自己的需要自行添加,但是一个工具包通常只能用来完成对某一特定平台的工作,
把对多个平台编译的工具放进同一个工具包反而会显得紊乱。
在Linux上创建响应工具包时,可以用gcc的–static参数编译源代码,或者用ldd检查动态连接库,
在响应工具包存储介质上建立库文件目录,并拷贝所有工具需要的动态连接库的副本,最后设置环境变量。
这个过程有点类似于创建一个Linux的优盘启动盘。
============
获取易失数据
============
易失的数据包括:当前打开的套接字,进程列表,RAM内容,非链接文件的位置。
*unix特性: unix允许进程正在执行时将其删除!
非链接文件是访问该文件的进程中止时被标记为删除的文件。当系统关闭时(正常关机或突然断电非正常关机),
标记为删除的文件都将消失。因此在找到被标记为删除的文件之前不能关机!
=================
执行可信赖的shell
=================
使用我们自己准备的响应工具包,装载该介质的文件系统,
mount –t auto /dev/sda1 /mnt/usb 或
mount –t iso9660 /dev/cdrom /mnt/cdrom
按下Ctrl+Alt+F1~F6,从控制台以root身份登陆。
请一定要区分原环境变量中的命令和当前响应工具包的相同名字的命令集,防止潜在的二进制特洛伊木马攻击。
==================
查看登陆系统的用户
==================
[root@ay4z3ro foo]# w
19:50:48 up 43 min, 2 users, load average: 0.00, 0.00, 0.00
USER TTY LOGIN@ IDLE JCPU PCPU WHAT
root :0 19:08 ?xdm? 11.10s 0.43s gnome-session
root pts/0 19:08 1.00s 0.21s 0.01s w
输出标题行显示了当前系统时间,该系统已运行的时间,当前登陆用户数,最近1分钟,5分钟和15分钟内的平均系统负载。
USER字段显示当前登陆的用户名。TTY字段显示了会话的控制终端,tty表示从控制台登陆,pts/typ则可以表示通过一个网络连接,
因为X是个C/S模式的应用程序,所以我在GNOME下开的shell窗口显示为pts。如果不从本地登陆,输出中还有FROM字段,
表示建立会话的源地址的域名或IP。LOGIN@显示该连接的本地开始时间。IDLE字段显示了自上一个进程运行以来的时间长度。
JCPU显示与tty或pts关联的全部进程所使用的时间。PCPU字段显示了WHAT列中当前进程所使用的CPU时间。WHAT列显示用户当前运行的进程。
================
查看系统进程列表
================
Solaris中使用ps –eaf,而在FreeBSD和Linux中则使用ps –aux.
[root@ay4z3ro foo]# ps aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.1 0.2 1356 496 ? S 19:07 0:04 init
root 2 0.0 0.0 0 0 ? SW 19:07 0:00 [keventd]
root 3 0.0 0.0 0 0 ? SWN 19:07 0:00 [ksoftirqd_CPU0]
root 4 0.0 0.0 0 0 ? SW 19:07 0:00 [kswapd]
root 5 0.0 0.0 0 0 ? SW 19:07 0:00 [bdflush]
root 6 0.0 0.0 0 0 ? SW 19:07 0:00 [kupdated]
root 7 0.0 0.0 0 0 ? SW< 19:07 0:00 [mdrecoveryd]
root 11 0.0 0.0 0 0 ? SW 19:07 0:00 [kjournald]
root 114 0.0 0.5 2108 1304 ? S 19:07 0:00 devfsd /dev
root 209 0.0 0.0 0 0 ? SW 19:07 0:00 [khubd]
root 338 0.0 0.0 0 0 ? SW 19:07 0:00 [kjournald]
rpc 620 0.0 0.2 1496 520 ? S 19:07 0:00 [portmap]
root 636 0.0 0.2 1452 624 ? S 19:07 0:00 syslogd -m 0
…………………(以下省略)
Ps命令输出中的START字段显示了程序开始运行的时间,对于查出攻击时间很有帮助。有时仅通过时间就能识别可疑进程。
Linux下还可以通过strings –f /proc/[0-9]*/cmdline来查看系统中运行进程的完整命令行参数,但是这个并不完全可信。
因为攻击者甚至不需要插入内核模块,而只在应用层的编码中加入语句就能欺骗我们。
===============
检测LKM Rootkit
===============
内核模块后门,还有什么比这个更臭屁的呢?Solaris,Linux和几乎所有的UNIX都支持LKM(Loadable Kernel Modules),
用普通的方法无法检测其存在,这给应急响应带来了极大的挑战性。对于我们来说,解决的办法是找到那些lkm rootkit,
并熟悉,解剖他们。有时lkm rootkit虽然被成功装载,但在系统的某些细节上会出现"异常",甚至可能使系统在运行一段时间后彻底崩溃。
还有,lkm虽然活动在ring0核心态,但是攻击者往往会在系统的某处留下痕迹,比如攻击者为了让系统每次关闭或重启后能自动装入他安置的
内核后门,可能会改写/etc/modules.conf或/etc/rc.local.
kstat/ksec是检测lkm非常方便的工具,前者用于Linux,后者用于*BSD.
[root@ay4z3ro kstat]# ./kstat
Usage: ./kstat [-i iff] [-P] [-p pid] [-M] [-m addr] [-s]
-i iff may be specified as 'all' or as name (e.g. eth0)
displays info about the queried interface
-P displays all processes
-p pid is the process id of the queried task
-M displays the kernel's LKMs' linked list
-m addr is the hex address of the queried module
displays info about the module to be found at addr
-s displays info about the system calls' table
其中-s参数最有用,它显示了系统调用入口的信息,能检测市面上最流行的knark和adore这两个内核后门,
但理论上他并不能检测出所有的lkm rootkit.
Kstat/ksec站点:http://www.s0ftpj.org
======================
检测开放端口和关联进程
======================
[root@ay4z3ro foo]# netstat –anp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 620/
tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN 908/X
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 880/sshd
udp 0 0 0.0.0.0:111 0.0.0.0:* 620/
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ACC ] STREAM LISTENING 2753 756/ /tmp/.font-unix/fs-1
……(以下省略)
在Solaris,HP-UX,AIX,FreeBSD,Linux上可以使用lsof工具列举所有运行进程及其所打开的文件描述符,其中包括常规文件,
库文件,目录,UNIX流,套接字等。如果只想显示网络套接字的进程:
[root@ay4z3ro foo]# lsof –i
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
portmap 620 rpc 3u IPv4 2598 UDP *:sunrpc
portmap 620 rpc 4u IPv4 2609 TCP *:sunrpc (LISTEN)
sshd 880 root 3u IPv4 2885 TCP *:ssh (LISTEN)
X 908 root 1u IPv4 2945 TCP *:x11 (LISTEN)
#2
其中特别需要注意的是奇怪的进程和已打开的原始套接字。
================================
寻找系统中是否运行一个非法嗅探器
================================
为了达到这个目的,我们需要检查网卡是否处于混杂(promiscuous)模式:
[root@ay4z3ro foo]# ifconfig –i eth0 | grep PROMISC
PROMISC标志并不会在所有的*NIX上出现,通过lsof+ps命令可以判断系统是否正运行一个嗅探器。或者通过第三方的工具,比如AntiSniff。
=================
检查/proc文件系统
=================
在/proc/$PID/目录下对于调查比较有意义的是:exe链接,fd子目录,cmdline文件。
[root@ay4z3ro 880]# ls -al
total 0
dr-xr-xr-x 3 root root 0 Sep 20 19:53 ./
dr-xr-xr-x 62 root root 0 Sep 20 15:07 ../
-r--r--r-- 1 root root 0 Sep 20 19:54 binfmt
-r--r--r-- 1 root root 0 Sep 20 19:54 cmdline
lrwxrwxrwx 1 root root 0 Sep 20 19:54 cwd -> //
-r-------- 1 root root 0 Sep 20 19:54 environ
lrwxrwxrwx 1 root root 0 Sep 20 19:54 exe -> /usr/sbin/sshd*
dr-x------ 2 root root 0 Sep 20 19:54 fd/
-r--r--r-- 1 root root 0 Sep 20 19:54 maps
-rw------- 1 root root 0 Sep 20 19:54 mem
-r--r--r-- 1 root root 0 Sep 20 19:54 mounts
lrwxrwxrwx 1 root root 0 Sep 20 19:54 root -> //
-r--r--r-- 1 root root 0 Sep 20 19:54 stat
-r--r--r-- 1 root root 0 Sep 20 19:54 statm
-r--r--r-- 1 root root 0 Sep 20 19:54 status
Exe链接允许我们恢复被删除的文件,只要这些文件仍然运行。为获得"已删除"可执行文件的备份,只需要使用cp命令在该文件系统上
创建一个拷贝就行。通过检查fd子目录,可以识别该进程打开的所有文件。如果对unix环境下的编程有所了解的话,很容易就能发现
是在读写一个文件还是打开一个网络连接。cmdline文件的内容是该进程的完整命令行。以下语句是攻击者的欺骗手段,
分享到:
相关推荐
### UNIX系统概述与核心知识点解析 #### 一、UNIX系统简介 UNIX系统是一种多用户、多任务的操作系统,自1969年由AT&T贝尔实验室开发以来,便因其卓越的性能和灵活性而受到广泛欢迎。它不仅在科学研究、教育领域有着...
Codelife 不止代码 - 自阅读加注标签-技术规划的借鉴 有摘记和感想.md,提供了原文的详细目录大纲,更重要的是给出了自学摘记,记录下诸多感想。 人的学习进步体现在对抽象问题的概括和具体问题的有针对性的见解,...
### 《Effective C++》摘记知识点解析 #### 标题与描述概述 - **标题**:“《Effective C++》摘记”:该标题表明了文章的主要内容是关于《Effective C++》一书中的精华总结。 - **描述**:“《Effective C++》中的...
【自主研修摘记】的主题聚焦于如何激发学生对计算的兴趣,这在数学教育中尤为重要。以下是摘记中提到的五个关键策略: 1. **创设情境,激发兴趣**:教师应当利用教材内容和学生的心理特点,设计引人入胜的课堂开头...
Fluent软件应用过程中的一些比较重要的说明摘记
软考信息系统管理师考试摘记。 项 目 管 理 知 识 体 系(九大管理) INPUT TOOL OUTPUT 4.1 制定项目章程 1、合同(如果适用) 1、项目选择方法 1、项目章程 2、项目工作说明书 2、项目管理方法系 3、事业环境...
《胡希恕伤寒论坛讲座》摘记.doc
【网络摘记教学设计】 本课程的核心是教授学生如何有效地在网络中查找、搜集信息,并将这些信息整理成有条理的文档,特别是使用Microsoft Word进行简单的排版。教学目标包括三个方面:一是掌握资料查找和搜集的基本...
EJB(Enterprise JavaBeans)是Java EE平台中的一个核心组件,用于构建企业级分布式应用程序。EJB 3是其第三个主要版本,发布于2006年,它引入了...如果你正在探索或使用EJB 3,这些摘记和文档将是你宝贵的参考资料。
### Hibrenate 学习摘记 #### Hibernate 概述与基本配置 Hibernate 是一个开源的对象关系映射(ORM)框架,它简化了 Java 应用程序与数据库之间的交互过程。通过将对象模型与数据库模型进行映射,开发人员可以更...
"胡希恕伤寒论坛讲座摘记" 本文摘记了胡希恕伤寒论坛的讲座要点,总共十八点,涵盖了中医基础理论、方剂学、诊断学等多方面的知识点。 一、温病不能发汗,不能吃泻药,更不能用火攻,只能用白虎汤。 本点讲述了...
构建高性能Web站点涉及多个关键领域,包括服务器并发策略、动态内存缓存、动态脚本加速、浏览器缓存、Web服务器缓存以及反向代理缓存。这些策略的优化对于提升网站性能至关重要。 首先,服务器并发策略是提高Web...
操作系统是计算机系统的核心软件,它负责管理和控制计算机系统的硬件与软件资源,提供用户与计算机交互的平台。了解操作系统的发展过程、基本特征、进程管理、作业调度等概念是计算机科学与技术专业的基础课程内容。...
【教育精品资料】这篇文档是关于2021-2022年自贡市绿盛实验学校在课堂教学改革过程中的学习与探索记录,主要涵盖了四川自贡地区多个区县的教改模式,并且详细描述了学校教师赴山东名校参观学习的考察报告。...
【高中政治有效课堂教学探究】 尊敬的各位领导,同行们,大家好!我今天要与大家分享的是我在高中政治教学中关于有效课堂教学的一些探索和心得。在农村高中环境下,面对学生素质、师资力量及教学设施的局限,如何...
Facebook在设计B端产品时,遵循了四个核心原则,这些原则旨在创造高效、用户导向且适应性强的企业级工具。下面是对这些原则的详细解释: 1. **帮助用户成长**:B端产品不仅要协助用户完成任务,还要促进他们的专业...
在一个文献下用数字标示文字摘记 允许匿名工作选项 缩进选项 作者名或标题首字母大写选项 包含超过2300个文献风格:EndNote 为重要期刊提供超过2300种预定义的文献风格。每个风格都可以修改,你也可以建立新的风格。...
下面是调用一个模型(Module)的函数。这个函数的基本功能是指定一个模型(抽象化为类)的名称,然后它会在模型目录下面寻找这个类的脚本实例化以后返回。这样的做法有一点好处就是载入和实例化是自动的,你可以获得...
- 阅读专业书籍,做学习摘记,每学期撰写一篇阅读笔记,持续提升专业素养。 这些知识点构成了幼儿园教师教育教学常规检查的全面框架,旨在通过系统的评估和反馈机制,促进教师的专业成长,提高幼儿园的整体教学...