Linux审计工具auditd使用详解

偶然在修改sshd配置文件过程中，发现了X11-forwarding这个配置项。该选项支持远程调用linux上主机的图形化界面程序。
以前我一直有个误区，必须在安装了图形化界面的linux系统上才能运行GUI程序，而作为无界面的linux Sever 本身不支持GUI程序。直到发现X11-forwarding才直到这个想法是错误的。因为linux的图形化界面也不过是一个软件罢了，并非系统内核支持。既然是软件，那么任意linux都可以安装实现图形化界面。

日常应急响应中，大部分case需要上机排查。但是客户环境多种多样，以往依赖于vnc对云上机器进行应急响应方式，效率非常低下（相信使用过vnc的同学应该深有体会）。因此我们对不同应急场景下的远程登录方式做了总结和归纳，希望能提升工作中应急响应效率。

应急响应上机排查现状

另类非常规的应急排查小技巧汇总。

不能删除所有的命令记录，需要确保操作是有记录的，但是执行的部分命令又不想被别人知道orz。

试想这样一种场景？

用友NC漏洞列表

• 用友 NC BshServlet 远程代码执行漏洞
• 用友 NC XbrlPersistenceServlet反序列化漏洞
• 用友 NC servlet.FileReceiveServlet 反序列化代码执行漏洞
• 用友 ERP-NC 目录遍历漏洞
• 用友 NC-cloud 任意文件上传漏洞
• 用友 NC-cloud 命令执行RCE漏洞
• 用友 ERP SQL注入漏洞
• 用友 U8 test.jsp的SQL注入漏洞

漏洞简述

Apache Log4j 2 是Java语言的日志处理套件，使用极为广泛。在其2.0到2.14.1版本中存在一处JNDI注入漏洞，由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。

这周的一次应急响应case中，客户遭遇了lockbit 2.0的勒索。经溯源分析后，发现客户机器上安装了serv-u 15.0.0.0 的版本，该版本存在远程命令执行漏洞。本文对该漏洞进行复现，本文主要侧重于被入侵后如何快速进行溯源排查。