主頁 > 知識庫 > Linux服務器安全事件應急響應排查方法總結(jié)

Linux服務器安全事件應急響應排查方法總結(jié)

熱門標簽:布谷電銷機器人價格 營銷智能外呼系統(tǒng)口碑推薦 怎么查看地圖標注的地點 電銷機器人錄音用什么軟件 岑溪電銷機器人 義烏市400電話辦理 大連企業(yè)電銷機器人線路 上海電銷卡外呼系統(tǒng)供應商 優(yōu)邁系統(tǒng)外呼顯示亂層

Linux是服務器操作系統(tǒng)中最常用的操作系統(tǒng),因為其擁有高性能、高擴展性、高安全性,受到了越來越多的運維人員追捧。但是針對Linux服務器操作系統(tǒng)的安全事件也非常多的。攻擊方式主要是弱口令攻擊、遠程溢出攻擊及其他應用漏洞攻擊等。我的VPS在前幾天就遭受了一次被惡意利用掃描其他主機SSH弱口令安全問題。以下是我針對此次攻擊事件,結(jié)合工作中Linux安全事件分析處理辦法,總結(jié)Linux安全應急響應過程中的分析方法。

一、分析原則

1.重要數(shù)據(jù)先備份再分析,盡量不要在原來的系統(tǒng)中分析;
2.已經(jīng)被入侵的系統(tǒng)都不再安全,如果條件允許最好采用第三方系統(tǒng)進行分析

二、分析目標

1.找到攻擊來源IP
2.找到入侵途徑
3.分析影響范圍
4.量化影響級別

三、數(shù)據(jù)備份采集

1.痕跡數(shù)據(jù)永遠是分析安全事件最重要的數(shù)據(jù)

在分析過程中,痕跡數(shù)據(jù)永遠是最重要的數(shù)據(jù)資料。所以第一件事自然是備份相關(guān)痕跡數(shù)據(jù)。痕跡數(shù)據(jù)主要包含如下幾點:

1.系統(tǒng)日志:message、secure、cron、mail等系統(tǒng)日志;
2.應用程序日志:Apache日志、Nginx日志、FTP日志、MySQL等日志;
3.自定義日志:很多程序開發(fā)過程中會自定義程序日志,這些日志也是很重要的數(shù)據(jù),能夠幫我們分析入侵途徑等信息;
4.bash_history:這是bash執(zhí)行過程中記錄的bash日志信息,能夠幫我們查看bash執(zhí)行了哪些命令。
5.其他安全事件相關(guān)日志記錄

分析這些日志的時候一定要先備份,我們可以通過tar壓縮備份好,再進行分析,如果遇到日志較大,可以盡可能通過splunk等海量日志分析工具進行分析。以下是完整備份var/log路徑下所有文件的命令,其他日志可以參照此命令:

復制代碼
代碼如下:

#備份系統(tǒng)日志及默認的httpd服務日志
tar -cxvf logs.tar.gz /var/html/p> p>#備份last
last > last.log/p> p>#此時在線用戶
w > w.log


2.系統(tǒng)狀態(tài)

系統(tǒng)狀態(tài)主要是網(wǎng)絡(luò)、服務、端口、進程等狀態(tài)信息的備份工作:

復制代碼
代碼如下:

#系統(tǒng)服務備份
chkconfig --list > services.log/p> p>#進程備份
ps -ef > ps.log/p> p>#監(jiān)聽端口備份
netstat -utnpl > port-listen.log/p> p>#系統(tǒng)所有端口情況
netstat -ano > port-all.log


3.查看系統(tǒng)、文件異常

主要針對文件的更改時間、屬組屬主信息問題,新增用戶等問題,其他可以類推:

復制代碼
代碼如下:

#查看用戶信息:
cat /etc/passwd/p> p>#查找最近5天內(nèi)更改的文件
find -type f -mtime -5

4.最后掃一下rootkit

Rootkit Hunter和chkrootkit都可以

四、分析方法

大膽猜測是最重要的,猜測入侵途徑,然后進行分析一般都會事半功倍。
一般來說,分析日志可以找到很多東西,比如,secure日志可以查看Accept關(guān)鍵字;last可以查看登錄信息;bash_history可以查看命令執(zhí)行信息等,不同的日志有不同的查看方式,最好是系統(tǒng)管理員的陪同下逐步排查,因為系統(tǒng)管理員才最懂他的服務器系統(tǒng)。此處不做太多贅述。

五、分析影響

根據(jù)服務器的用途、文件內(nèi)容、機密情況結(jié)合數(shù)據(jù)泄漏、丟失風險,對系統(tǒng)使用者影響等進行影響量化,并記錄相關(guān)安全事件,總結(jié)分析,以便后期總結(jié)。
如果已經(jīng)被進行過內(nèi)網(wǎng)滲透,還需要及時排查內(nèi)網(wǎng)機器的安全風險,及時處理。

六、加固方法

已經(jīng)被入侵的機器,可以打上危險標簽,最直接最有效的辦法是重裝系統(tǒng)或者系統(tǒng)還原。所以經(jīng)常性的備份操作是必不可少的,特別是源代碼和數(shù)據(jù)庫數(shù)據(jù)。
通過分析的入侵途徑,可以進行進一步的加固處理,比如弱口令和應用漏洞等。

標簽:阜陽 楚雄 荊州 忻州 來賓 遼陽 淄博 迪慶

巨人網(wǎng)絡(luò)通訊聲明:本文標題《Linux服務器安全事件應急響應排查方法總結(jié)》,本文關(guān)鍵詞  Linux,服務器,安全,事件,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請?zhí)峁┫嚓P(guān)信息告之我們,我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《Linux服務器安全事件應急響應排查方法總結(jié)》相關(guān)的同類信息!
  • 本頁收集關(guān)于Linux服務器安全事件應急響應排查方法總結(jié)的相關(guān)信息資訊供網(wǎng)民參考!
  • 推薦文章