手動篇

0. 注意

最好提前獲取客戶操作系統(tǒng)等相關(guān)信息
千萬不要一開始就使用一些掃描工具哗脖。因為有些工具可能帶有打開文件操作，這樣會導(dǎo)致所以文件的修改時間全被刷新一次扳还。
//別問我為啥知道
本文主要使用linux才避、windows自帶的相關(guān)命令和程序。
//避免工具對生產(chǎn)系統(tǒng)服務(wù)器帶來的未知后果氨距。

linux

1.日志和記錄

ssh  后門 strings /usr/bin/.sshd | egrep '[1-9]{1,3}\.[1-9]{1,3}\.'
history bash //命令記錄
history | grep '2018-1-1'  //根據(jù)時間查看干了什么

egrep '(select|script|acunetix|sqlmap)' /var/log/httpd/access_log > xx.log
//根據(jù)關(guān)鍵字篩選日志中有特殊字符的位置

/var/log/wtmp
/var/log/utmp
//需要last命令才能查看
//string讀取二進(jìn)制文件字符串

//花式備份各種日志
tar -cxvf secure_logs.tar.gz /var/log/secure
tar -cxvf messages_logs.tar.gz /var/log/messeges
tar -cxvf httpd_logs.tar.gz /var/log/httpd/
tar -cxvf all_log.tar.gz /var/log/*
/var/log/*

2.進(jìn)程和端口

netstat -antlp | grep EST | grep bash  //被反彈后門
ps -aux | grep xxx  > /tmp/ps_aux_gp_xxx.txt   //導(dǎo)出命令結(jié)果
ps -ef | grep xxx > /tmp/ps_ef_gp_xxx.txt   //導(dǎo)出命令記過
netstat -antup > port-listen.log 

lsof(list open files) //linux下萬物皆文件桑逝。
lsof -i :[port]  //查看什么文件占用的該端口  
lsof -p [pid]  //查看什么文件占用的該pid

3.用戶與用戶組

cat /etc/passwd
lsof -g [gid]

4.資源占用

這項主要是查出自己被當(dāng)肉雞或者礦機的進(jìn)程

top >/tmp/top.txt

5.計劃任務(wù)

crontab -l

cd /etc/crontab
ls
crontab -r //刪除計劃任務(wù)

6.webshell,文件,木馬

find -mtime -2 -type f -name \*.php 查找近2天被修改過的文件
find /  -mtime -5  -name "*.jsp"
find / *.jsp  -perm 777 //尋找權(quán)限為777的文件
stat 文件
diff -r 新舊環(huán)境(線上與測試環(huán)境)

6.Rootkit

Rootkit就比較難通過上面的常規(guī)操作發(fā)現(xiàn)了，不過有經(jīng)驗的表哥還是能從各種細(xì)節(jié)中發(fā)現(xiàn)被Rootkit的痕跡衔蹲。

//這里推薦一個工具(至于是否要在生產(chǎn)環(huán)境上使用就看個人了)
yum install chkrootkit
chkconfig [ | grep INFECTED]

備忘

//各個log作用
/var/log/messages — 包括整體系統(tǒng)信息肢娘，其中也包含系統(tǒng)啟動期間的日志呈础。此外，mail橱健，cron而钞，daemon，kern和auth等內(nèi)容也記錄在var/log/messages日志中拘荡。
/var/log/dmesg — 包含內(nèi)核緩沖信息（kernel ring buffer）臼节。在系統(tǒng)啟動時，會在屏幕上顯示許多與硬件有關(guān)的信息珊皿⊥欤可以用dmesg查看它們。
/var/log/auth.log — 包含系統(tǒng)授權(quán)信息蟋定，包括用戶登錄和使用的權(quán)限機制等粉臊。
/var/log/boot.log — 包含系統(tǒng)啟動時的日志。
/var/log/daemon.log — 包含各種系統(tǒng)后臺守護(hù)進(jìn)程日志信息驶兜。
/var/log/dpkg.log – 包括安裝或dpkg命令清除軟件包的日志扼仲。
/var/log/kern.log – 包含內(nèi)核產(chǎn)生的日志，有助于在定制內(nèi)核時解決問題抄淑。
/var/log/lastlog — 記錄所有用戶的最近信息屠凶。這不是一個ASCII文件，因此需要用lastlog命令查看內(nèi)容肆资。
/var/log/maillog /var/log/mail.log — 包含來著系統(tǒng)運行電子郵件服務(wù)器的日志信息矗愧。例如，sendmail日志信息就全部送到這個文件中郑原。
/var/log/user.log — 記錄所有等級用戶信息的日志唉韭。
/var/log/Xorg.x.log — 來自X的日志信息。
/var/log/alternatives.log – 更新替代信息都記錄在這個文件中颤专。
/var/log/btmp – 記錄所有失敗登錄信息纽哥。使用last命令可以查看btmp文件钠乏。例如栖秕，”last -f /var/log/btmp | more“。
/var/log/cups — 涉及所有打印信息的日志晓避。
/var/log/anaconda.log — 在安裝Linux時簇捍，所有安裝信息都儲存在這個文件中。
/var/log/yum.log — 包含使用yum安裝的軟件包信息俏拱。
/var/log/cron — 每當(dāng)cron進(jìn)程開始一個工作時暑塑，就會將相關(guān)信息記錄在這個文件中事格。
/var/log/secure — 包含驗證和授權(quán)方面信息驹愚。例如，sshd會將所有信息記錄（其中包括失敗登錄）在這里逢捺。
/var/log/wtmp或/var/log/utmp — 包含登錄信息谁鳍。使用wtmp可以找出誰正在登陸進(jìn)入系統(tǒng)，誰使用命令顯示這個文件或信息等劫瞳。
/var/log/faillog – 包含用戶登錄失敗信息倘潜。此外，錯誤登錄命令也會記錄在本文件中志于。
除了上述Log文件以外涮因， /var/log還基于系統(tǒng)的具體應(yīng)用包含以下一些子目錄：
/var/log/httpd/或/var/log/apache2 — 包含服務(wù)器access_log和error_log信息伺绽。
/var/log/lighttpd/ — 包含light HTTPD的access_log和error_log憔恳。
/var/log/mail/ –  這個子目錄包含郵件服務(wù)器的額外日志。
/var/log/prelink/ — 包含.so文件被prelink修改的信息钥组。
/var/log/audit/ — 包含被 Linux audit daemon儲存的信息输硝。
/var/log/samba/ – 包含由samba存儲的信息。
/var/log/sa/ — 包含每日由sysstat軟件包收集的sar文件程梦。
/var/log/sssd/ – 用于守護(hù)進(jìn)程安全服務(wù)点把。

windows

1.日志和記錄

應(yīng)用程序日志、系統(tǒng)日志、安全日志；默認(rèn)情況下优训，如果系統(tǒng)不對事件做審核則不會生成安全日志忌傻。
開始→設(shè)置→控制面板→管理工具→事件查看器
Windows日志文件默認(rèn)位置是%systemroot%\system32\config 
安全日志文件：%systemroot%\system32\config \SecEvent.EVT 
系統(tǒng)日志文件：%systemroot%\system32\config \SysEvent.EVT 
應(yīng)用程序日志文件：%systemroot%\system32\config \AppEvent.EVT 
FTP連接日志和HTTPD事務(wù)日志：%systemroot% \system32\LogFiles\ 
IIS日志默認(rèn)存放在System32\LogFiles目錄下，使用W3C擴(kuò)展格式

2.進(jìn)程和端口

任務(wù)管理器

netstat -ano > port-listen.log  //啟動的服務(wù)
net start
tasklist /svc //進(jìn)程對應(yīng)的服務(wù)
taskkill
啟動的服務(wù)

運行services.msc
檢查注冊服務(wù)
wmic startup get caption,command 
//在命令行使用該命令得到Windows上所有啟動項的名稱與執(zhí)行程序所在路徑

3.用戶和用戶組

計算機管理 compmgmt.msc 本地用戶和組lusrmgr.msc

net user //看不到隱藏用戶
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\ 下是否存在隱藏帳戶  //檢查隱藏帳戶 
1.HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\
//查看隱藏賬戶

4.資源占用

任務(wù)管理器

5.計劃任務(wù)

 管理->任務(wù)計劃程序->任務(wù)計劃程序庫
運行taskschd.msc
刪除了計劃任務(wù)

6.shell,木馬,文件

mysql\lib\plugin目錄沒有發(fā)現(xiàn)異常文件
select * from mysql.func沒有發(fā)現(xiàn)異常。

7.注冊表

運行regedit.exe
刪除注冊表中啟動項中的異常內(nèi)容
1.HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\
//查看隱藏賬戶

工具篇

linux

windows

51的Windows系統(tǒng)安全檢查腳本

http://www.jb51.net/bat/498789.html

火絨劍也是一款優(yōu)秀的進(jìn)程管理分析工具
http://down4.huorong.cn/hrsword.exe

AutoRuns是一款項目管理工具吊输，它可以查看“資源管理器”，“IE瀏覽器”铁追，“計劃任務(wù)”季蚂，“驅(qū)動等等”，
通常用它來查看異常進(jìn)程
https://filehippo.com/zh/download_autoruns

D盾是一款基于正則檢測的webshell查殺工具琅束，據(jù)說有4千多萬條正則扭屁，通常使用它來掃描網(wǎng)站webshell，同時也可以掃描隱藏文件涩禀。
http://www.d99net.net/

PC Hunter是一個Windows系統(tǒng)信息查看軟件料滥，同時也是一個手工殺毒輔助軟件。
http://www.xuetr.com/