windows-linux应急响应

常用命令

 /var/log/redis.log redis日志路径
 /var/log/mysql/error.log mysql报错日志
 
 
find / -type f -name ".*" 2>/dev/null | grep -v "^\/sys\/" // 查找隐藏文件
find / -type d -name ".*" 2>/dev/null // 查找隐藏目录

目录打包 tar -czvf html.tar.gz ./  
ssh查看登录成功的日志 cat auth.log.1|grep -a "Accepted "
查找登录失败记录 cat auth.log.1|grep -a "Failed password for root"
查看进程证明lsof  -p pid 

MYSQL日志排查

udf提权排查
/etc/mysql/my.cnf会保存 Mysql 的登录密码
show variables like '%plugin%';

apache排查

/var/log/apache/access.log
/var/log/apache2/access.log
/var/log/httpd/access.log

这个命令用于统计access.log.1文件中每个独特的第一部分出现的次数
cut -d- -f 1 access.log.1|uniq -c | sort -rn | head -20 

linux权限维持排查

find / -type f -name ".*" 2>/dev/null | grep -v "^\/sys\/" // 查找隐藏文件
find / -type d -name ".*" 2>/dev/null // 查找隐藏目录 

查找提权路径

linux隐藏进程

libprocesshider
https://www.cnblogs.com/mysgk/p/9602977.html

挖矿排查

找挖矿程序就要找计划任务但是crontab

看/etc/crontab

wireshark排查web扫描

http.response.code==404

windows排查

基础信息收集

set 查看环境变量
netstat -ano | findstr ESTABLISHED 查看已建立会话的端口和ip 然后把ip对微步
tasklist /v  或者用任务管理器
wmic process get * /value
wmic process get Caption,CommandLine /value

恶意用户排查

wmic useraccount 

持久化排查

注册表下的run键:
1.所有用户登录时会运行的程序
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2.当前用户登录时会运行的程序
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

服务文件 重启就有 或者sc start
查看sc建立的服务:services.msc


本地组策略
gpedit.msc

计划任务
schtasks 
schtasks /query /fo LIST /v 查看所有定时任务

技巧

用everything搜索这段时间内的在C:\Users 搜索 2024 年 7 月 1 日到 2024 年 7 月 31 日被修改的文件：
C:\Users dm:2024-07-01..2024-07-31  


火绒的安全分析工具
查看所有启动项看看安全状态哪些是未知文件

linux排查

top -c 查看cpu占用率
netstat -anpt 查看外连
cat /proc/$$/mountinfo 查看所有挂载目录
umount /proc/59919 解除挂载
crontab -l 查看定时任务
cat -A /var/spool/cron/crontabs/root 查看隐藏定时任务
history
alias
ps aux | grep pid 查看具体进程的执行命令