一、系统用户信息收集

确定系统中是否有一个看起来可疑的用户

Cat/etc/passwd

查看用户密码信息，且只有root用户可以查看。

cat /etc/shadow

查看用户组信息

cat/etc/group

快速定位sudo组

查看当前登录系统用户信息

whoami

w

who

netstat -pantu 查看网络状态

启动ssh服务。

使用ssh 127.0.0.1 登录。

last //查看登录记录

lastb //查看登录日志记录

二、linux系统文件信息收集

ls -alh 查看当前路径下的文件信息

识别系统中任何过大的文件及其权限

find /home/ -type f -size +512k -exec ls -lh {} ; //查看home目录下文件大于512k的文件信息

找到所有SUID的文件
find / -perm -u=s -type f 2>/dev/null

查找用户有su权限的文件目录。

find命令suid提权
which find //查看文件路径

chmod u+s /usr/bin/find 给用户添加s的权限

ls -la /usr/bin/find 查看find的权限

使用之前的命令，发现他已经被添加到suid文件中。

find / -perm -u=s -type f 2>/dev/null

find . -exec “whoami” ; 查看文件权限，权限为root用户的权限

创建test文件，查看test的文件权限.

三、系统资源信息

查看服务器已经运行了多长时间、系统中的当前时间、当前登录了多少用户以及系统的平均负载
uptime

查看Linux中系统的内存使用情况，系统中使用的物理内存和交换内存，以及内核使用的缓冲区
free

检查系统上是否存在未知的挂载
cat /proc/mounts

四、服务信息

service —status-all //获取当前系统所有服务信息 +开启 -关闭

cat /etc/crontab 查看计划任务的信息

筛选开启的服务

more /etc/resolv.conf 查看DNS服务的ip地址

more /etc/hosts 查看

iptables -L -n 查看防火墙规则

五、网络信息收集

arp指令用来管理系统的arp缓冲区，可以显示、删除、添加静态mac地址。
arp -vn

添加静态映射
arp -i eth0 -s IP地址 MAC地址

显示网络连接信息
netstat -pantu

IP地址信息查看
ifconfig

    ip a  

六、应急响应流程

01应急响应取证

定义：计算机调查取证，是法医学下的一个分支，与法医相似，计算机调查取证是有关从计算机中获取电子证据并加以分析的过程。
使调查的结果能够经受法庭的检查。

02应急响应根除

方法：      利用杀毒软件、杀毒脚本、手工查杀等方式彻底消除病毒，并检测整个网络系统，以确保不要留下后门。      针对不同操作系统，使用打补丁、修改安全配置和增加系统带宽的方式，降低安全风险。  

03应急响应恢复

方法：      利用备份文件恢复用户数据和配置信息      将受到入侵和可能存储漏洞的服务关闭，修改后重启服务      连接网络，恢复业务，持续监控并进行汇总分析  

04应急响应报告

方法：      1、事情经过      2、事件成因      3、评估事件影响      4、采取措施      5、事后系统定级、备案、测评等情况  

总结：

本文主要从完整的Linux的应急响应过程出发，主要包括系统用户信息收集、linux系统文件信息收集、系统资源信息、服务信息、网络信息收集，最后梳理整个应急响应流程。