Linux安全事件应急响应排查方法总结
Linux安全事件应急响应排查方法总结
Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能、高扩展性、高安全性,受到了越来越多的运维人员追捧。但是针对Linux服务器操作系统的安全事件也非常多的。攻击方式主要是弱口令攻击、远程溢出攻击及其他应用漏洞攻击等。我的VPS在前几天就遭受了一次被恶意利用扫描其他主机SSH弱口令安全问题。以下是我针对此次攻击事件,结合工作中Linux安全事件分析处理办法,总结Linux安全应急响应过程中的分析方法。
一、分析原则
- 重要数据先备份再分析,尽量不要在原来的系统中分析;
- 已经被入侵的系统都不再安全,如果条件允许最好采用第三方系统进行分析
二、分析目标
- 找到攻击来源IP
- 找到入侵途径
- 分析影响范围
- 量化影响级别
三、数据备份采集
1.痕迹数据永远是分析安全事件最重要的数据
在分析过程中,痕迹数据永远是最重要的数据资料。所以第一件事自然是备份相关痕迹数据。痕迹数据主要包含如下几点:
- 系统日志:message、secure、cron、mail等系统日志;
- 应用程序日志:Apache日志、Nginx日志、FTP日志、MySQL等日志;
- 自定义日志:很多程序开发过程中会自定义程序日志,这些日志也是很重要的数据,能够帮我们分析入侵途径等信息;
- bash_history:这是bash执行过程中记录的bash日志信息,能够帮我们查看bash执行了哪些命令。
- 其他安全事件相关日志记录
分析这些日志的时候一定要先备份,我们可以通过tar压缩备份好,再进行分析,如果遇到日志较大,可以尽可能通过splunk等海量日志分析工具进行分析。以下是完整备份var/log
路径下所有文件的命令,其他日志可以参照此命令:
#备份系统日志及默认的httpd服务日志
tar -cxvf logs.tar.gz /var/html#备份last
last > last.log#此时在线用户
w > w.log
2.系统状态
系统状态主要是网络、服务、端口、进程等状态信息的备份工作:
#系统服务备份
chkconfig --list > services.log#进程备份
ps -ef > ps.log#监听端口备份
netstat -utnpl > port-listen.log#系统所有端口情况
netstat -ano > port-all.log
3.查看系统、文件异常
主要针对文件的更改时间、属组属主信息问题,新增用户等问题,其他可以类推:
#查看用户信息:
cat /etc/passwd#查找最近5天内更改的文件
find -type f -mtime -5
4.最后扫一下rootkit
Rootkit Hunter和chkrootkit都可以
四、分析方法
大胆猜测是最重要的,猜测入侵途径,然后进行分析一般都会事半功倍。
一般来说,分析日志可以找到很多东西,比如,secure日志可以查看Accept关键字;last可以查看登录信息;bash_history可以查看命令执行信息等,不同的日志有不同的查看方式,最好是系统管理员的陪同下逐步排查,因为系统管理员才最懂他的服务器系统。此处不做太多赘述。
五、分析影响
根据服务器的用途、文件内容、机密情况结合数据泄漏、丢失风险,对系统使用者影响等进行影响量化,并记录相关安全事件,总结分析,以便后期总结。
如果已经被进行过内网渗透,还需要及时排查内网机器的安全风险,及时处理。
六、加固方法
已经被入侵的机器,可以打上危险标签,最直接最有效的办法是重装系统或者系统还原。所以经常性的备份操作是必不可少的,特别是源代码和数据库数据。
通过分析的入侵途径,可以进行进一步的加固处理,比如弱口令和应用漏洞等
引自: LINUX安全事件应急响应排查方法总结 http://www.3mc2.com/linux-security-response-methods.html
转载于:https://www.cnblogs.com/picaso/p/4216412.html
Linux安全事件应急响应排查方法总结相关推荐
- 网络安全事件应急响应实战
一.应急响应 1.Window入侵排查 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵 ...
- 记一次云安全的安全事件应急响应
传统的安全应急响应相信大家都见过,在之前的博文中也有过介绍.上周末我们的一个客户发生的虚拟货币丢失事件,我们安全组介入排查,当时很久都没有头绪,经过某同事的灵光一闪,我们发现了转机.一句话而言,云计算 ...
- Linux定时任务不执行排查方法
实现linux定时任务有:cron.anacron.at等,但平常工作中接触到的是cron服务.cron是服务名称,crond是后台进程,crontab则是定制好的计划任务表.项目中经常用到定时任务实 ...
- linux内存泄漏通用排查方法
一. 概述 Linux下经常遇到内存泄漏的问题,尤其对C/C++开发人员来说是一个亘古不变的话题,现在介绍解决Linux内存泄漏问题的方法层出不穷,让人眼花缭乱,但是作为开发人员应该从本质上了解为 ...
- Windows应急响应排查思路,应急响应基础技能
「作者简介」:CSDN top100.阿里云博客专家.华为云享专家.网络安全领域优质创作者 「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏<网络安全入门到精通> Windows应急响应 ...
- 网页认证上网服务器无响应,portal认证失败,网络故障或者portal服务器没有响应排查方法...
1.客户端发送CODE_PP_DOMAIN_REQUSET报文给portal服务器,此时可以看到客户端发送给portal是服务器NAT后地址10.217.90.20 [2019-09-20 15:47 ...
- 应急响应 Windows和Linux操作系统(查杀 后门木马,处理 勒索病毒.)
网络安全--应急响应 应急响应"对应的英文是"Incident Response"或"Emergency Response"等,通常是指一个组织为了应 ...
- 01应急响应相关概述与流程
基本概念 网络安全应急响应 指在突发重大网络安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略与规程 事件分类 恶意程序事件 计算机病毒事件.蠕虫事件.特洛伊木马事件.僵尸网络 ...
- [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一)
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一) [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(二) [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(三) 目录 一.应急响应是 安全 ...
最新文章
- ajax post提交数据_详解Ajax异步加载
- 不禁网页的浏览器_网页游戏兴衰史:「农场」没有菜,「渣渣辉」不贪玩
- 解决:关于Git无法提交 index.lock File exists的问题
- keras——基于神经网络的风格迁移生成艺术字
- 【今日CV 计算机视觉论文速览】Fri, 22 Feb 2019
- c语言程序可以从任何函数开始执行,C语言-基本选择题及参考答案
- python用户登录a_用Python实现用户登录接口
- 吉利成立数字科技新公司 经营范围涉区块链等
- Unix环境下的编程,所涉及的主要c语言知识
- jquery计算两个日期天数差
- Python网络爬虫:正则表达式
- 如何用html实现文件下载
- 秒杀系统设计与关键技术剖析
- 16种常用的数据分析方法-列联分析
- 小小屋影视全网搜索在线播放工具
- C#渐变色方法 实例
- 各大搜索引擎收录入口
- OSPF 总结—— ospf邻居关系无法建立原因 + OSPF选路影响因素
- 硅谷:大火是这样烧起来的!
- ClickHouse 数据导出导入
热门文章
- [emuch.net]MatrixComputations(1-6)
- 一行代码轻松实现拖动效果
- 判断链表是否存在环(及其延伸)
- 邮件安全隐患及其防范技术研究
- 2017-2018 ACM-ICPC German Collegiate Programming Contest (GCPC 2017)
- 区块链之比特币的潜在激励
- 本地Yum仓库搭建部署
- Spring Batch在大型企业中的最佳实践
- jquery 获取和设置 select下拉框的值(转手册)
- iOS,Android,WP, .NET通用AES加密算法