Linux服务器安全事件应急的一些随笔 - 备份篇

大概就可以理解为Linux的内核是一块支持热插拔的板卡，在其运行过程中我们可以随时插入一个功能板，为其扩展功能。在不用的时候我们又可以将这块功能板给拔掉。这样我们就可以在不用修改内核的情况下扩展了其功能。前面提到的fmem也是运用到了Linux内核的这个特性，下面要用的这个工具也是运行的这个特性。

在Linux中我们可以通过

lsmod 查看有哪些功能版正插在板卡上

insmod 插入一块新的功能版

rmmod 拔出一块功能版

内存备份工具LiME

https://github.com/504ensicslabs/lime

git下源码丢进kali里进行编译假设你编译有问题，比如类似的这种错误

make -C /lib/modules/2.6.32-25-generic-pae/build M="/test/LiME/src" modules 
make[1]: Entering directory `/lib/modules/2.6.32-25-generic-pae/build' 
make[1]: *** No rule to make target `modules'.  Stop. 
make[1]: Leaving directory `/lib/modules/2.6.32-25-generic-pae/build'make: *** [default] Erro 

你可能需要这个命令

apt-get install linux-headers-$(uname -r) 

去安装当前内核的开发包完成LiME的编译

记得安装完内核开发包后前往/lib/modules/xxxx-amd64目录下查看有没有build和source的软链接

没有的话通过下面命令创建一下

ln -s /usr/src/linux-headers-x.xx.x-x-amd64 build 
ln -s /usr/src/linux-headers-x.xx.x-x-common source 

没什么其他错误的话我们就可以加载这个模块进行内存备份了

进入其src目录进行编译# makemake -C /lib/modules/4.9.0-kali4-amd64/build M="/root/Github/LiME/src" modules

make[1]: Entering directory '/usr/src/linux-headers-4.9.0-kali4-amd64' 
  Building modules, stage 2. 
  MODPOST 1 modules 
  LD [M]  /root/Github/LiME/src/lime.ko 
make[1]: Leaving directory '/usr/src/linux-headers-4.9.0-kali4-amd64'strip --strip-unneeded lime.ko 
mv lime.ko lime-4.9.0-kali4-amd64.ko 

编译成功后会在当前目录生成lime-4.9.0-kali4-amd64.ko文件

执行命令

# insmod ./lime-4.9.0-kali4-amd64.ko "path=/test/testmem.lime format=lime" 

稍等片刻完成内存的备份，其中path参数为备份内存保存的路径，format为保存格式，建议使用lime格式，方便我们后面通过volatility进行分析

简单的先测试下刚刚备份的内存是否可以被volatility识别

# python vol.py -f /test/testmem.lime --profile=Linuxkalix64 limeinfoVolatility Foundation Volatility Framework 2.6 
Memory Start       Memory End         Size               
------------------ ------------------ ------------------ 
0x0000000000001000 0x000000000009f3ff 0x000000000009e400 
0x0000000000100000 0x00000000546dffff 0x00000000545e0000 
0x0000000054700000 0x00000000547fffff 0x0000000000100000 

内存备份完后卸载lime模块

很无奈的备份

安全应急实施过程中有时候甲方爸爸也不一定让你搞这搞那，一句话，你要啥日志~ 我~ 甲方爸爸~ 给日志~

这时难免被这王霸之气震惊，随记录下需要备份哪些日志以及文件以免遗漏

打包打包打包

/var/log完整打包

视具体情况而定，假设日志过多情况下，则可能需要我们进行筛选打包

# tar -czvf xx_var_log_time.tar.gz /var/log 

针对web入侵应急还需备份出web应用，nginx日志等

经常会遗漏的一些内容

备份passwd和shadow文件分析是否存在可疑账号

比如某些本该是系统用户的账号却存在了口令字段

# cat /etc/passwd > etc_passwd.txt# cat /etc/shadow > etc_shadow.txt 

备份当前网络连接情况# netstat -anp > netstat_anp.txt

备份历史命令# cp ~/.bash_history bash_history.txt带时间和执行者格式备份

history# export HISTTIMEFORMAT="%Y-%m-%d:%H-%M-%S:`whoami`:"# history > history.txt 

备份用户登录信息

# w > col_users.txt# lastlog > lastlog.txt 

查找最近5天被修改的文件#find / -type f -mtime +5

备份进程信息

# ps -ef > ps_ef.txt# ps aux > ps_aux.txt 

备份重要文件或命令的md5值

懒人办法：

设置要备份的目录# TESTDIR='/bin/'# find $TESTDIR -type f -print0 | xargs -0 md5sum > dir_bin_cmd.md5备份出bin目录下所有命令的md5值

生成完整的或自定义的某个目录文件系统树形结构图# tree > tree.txt或者定义生成目录深度# tree -L 2

（编辑：衢州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!