总体思路

确认问题与系统现象 → 取证清除与影响评估 → 系统加固 → 复盘整改

常见入侵

① 挖矿:

表象:CPU增高、可疑定时任务、外联矿池IP。

告警:威胁情报(主要)、Hids、蜜罐(挖矿扩散时触发)

动作:通过CPU确认异常情况→ 确认可疑进程 → 检查定时任务、主机服务、守护进程→结束病毒进程,删除病毒文件->加固。

②Webshell:

表象:业务侧应用逻辑漏洞(允许上传脚本等造成命令执行)或者开源软件低版本造成(fastjson等)导致,通常为反弹shell、高危命令执行,同时存在内网入侵、恶意程序传播、数据盗取等行为。

告警:Hids(主要)、流量监控设备

动作:确认Webshell文件内容与可用性→ 酌情断网,摘掉公网出口IP→ 通过日志等确认Webshell文件访问记录→ 确定Webshell入侵来源,是业务逻辑漏洞导致、开源组件漏洞还是弱口令与未授权等情况导致 →排查应用其他机器情况,全盘扫描Webshell文件→ 缩容机器,修复相关问题重新恢复应用开放。

③内网入侵:

表象:以入侵的跳板机为源头进行端口扫描、SSH爆破、内网渗透操作、域控攻击等。

告警:Hids(主要)、蜜罐、域控监控(ATA等)

动作:确定入侵边界再进行处理,通常蜜罐等存在批量扫描爆破记录,需登录前序遭入侵机器确认情况,方便后续批量处理,这个情况较为复杂后期单独写一篇文章。

进程相关

1.查询可疑端口、进程、ip:netstat -antlp | more 或者 netstat -anltp | grep $pid,若存在可疑进程可通过 ls -l /proc/$PID 查看PID对应的进程文件路径。

2.针对挖矿等大量消耗系统资源的恶意程序可以通过 top(执行top命令后通过大写字母P按CPU排序,通过大写字母M按内存排序)、ps -elf 可疑$PID 、ps -aux 命令检查排名靠前的或者不断变化的程序。同时使用 kill - 9 进程名 结束进程。

3.查询通过TCP、UDP连接服务器的IP地址列表:netstat -ntu ,查询可疑连接:netstat -antlp

4.查询守护进程:lsof -p $pid

5.查询进程命令行:ps -aux ,#注意查看命令行,如:带有URL等可疑字符串、wget等命令字符串可能为病毒下载地址

6.跟踪可疑进程运行情况:strace -tt -T -e trace=all -p $pid

系统相关

1.检查账户安全:

① 检查近期登陆的账户记录:使用 last 命令,禁用可疑用户:usermod -L 用户名,删除用户:userdel -r 用户名

② 查询特权用户:awk -F ":" '$3==0{print $1}' /etc/passwd

③ 查询可远程登录用户:awk '/\$1|\$6/{print $1}' /etc/shadow

④ 查询sudo权限账户:cat /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

⑤ 与业务确认管理员帐户、数据库帐户、MySQL 帐户、tomcat 帐户、网站后台管理员帐户等密码设置是否存在弱口令情况。

2.检查启动项与定时任务:

① cron目录(/var/spool/cron,查询目录下所有文件通过ls -al)下检查非法定时任务脚本:查看/etc/crontab,/etc/cron.d,/etc/cron.daily,cron.hourly/,cron.monthly,cron.weekly/是否存在可疑脚本或程序,进行注释或者删除。

② 编辑定时任务:crontab -e,查看定时任务:crontab -l,查看anacron异步定时任务:cat /etc/anacrontab,删除定时任务:crontab -r

3.查询主机历史命令: history

4.查询主机所有服务:service --status-all

5.开机启动项:ls -alt /etc/init.d/ cat /etc/rc.local

文件相关

1.关于敏感目录:

① 查看tmp目录相关文件:ls -alt /tmp/

② 指定目录下文件按时间排序:ls -alt |head -n 10

③ 查看可疑文件详细修改时间: stat 目录或者文件

2.关于文件篡改:

① 查找24小时内被修改的特定文件:find ./ -mtime 0 -name "*.jsp"

② 查找72小时内新增的文件:find / -ctime -2

③ 查询一定时间内敏感目录下被修改的系统文件: find /etc/ /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ /var/spool/cron/ -type f -mtime -3 | xargs ls -l

3.删除恶意文件:

ls -al /proc/[pid]/,ls -al /proc/[pid]/exe

rm -f [exe_path]

查询文件md5: md5sum 文件名

查询SSH登录日志: vim /var/log/secure #所有ssh登录打包日志均在该文件夹,可直接vim,快速判断爆破痕迹(Accepted password:密码正确、Failed password:密码错误)

其他

关于取证备份:

系统服务备份 chkconfig --list > services.log

进程备份 ps -ef > ps.log

监听端口备份 netstat -utnpl > port-listen.log

系统所有端口情况 netstat -ano > port-all.log

查看是否有账号异常登录情况:

a.查看当前登录用户和其行为:w

b.查看所有用户最后一次登录的时间:lastlog

c.查看所有用户的登录注销信息及系统的启动、重启及关机事件:last

d.查看登录成功的日期、用户名及ip:grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'

e.查看试图爆破主机的ip:grep refused /var/log/secure* | awk {'print $9'} | sort | uniq -c |sort -nr | more 、 grep "Failed password" /var/log/secure* | grep -E -o "(([0-9]{1,3})\.([0-9]{1,3})\.([0-9]{1,3})\.([0-9]{1,3}))" | uniq -c

f.查看有哪些ip在爆破主机的root账号:grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort

g.查看爆破用户名字典:grep "Failed password" /var/log/secure | awk {'print $9'} | sort | uniq -c | sort -nr

cron文件检查恶意脚本位置:

/var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*

检查近期被替换命令:

ls -alt /usr/bin /usr/sbin /bin /usr/local/bin

服务器入侵应急响应排查(Linux篇)的更多相关文章

  1. 记一次linux服务器入侵应急响应

    近日接到客户求助,他们收到托管电信机房的信息,通知检测到他们的一台服务器有对外发送攻击流量的行为.希望我们能协助排查问题. 一.确认安全事件 情况紧急,首先要确认安全事件的真实性.经过和服务器运维人员 ...

  2. Linux安全事件应急响应排查方法总结

    Linux安全事件应急响应排查方法总结 Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能.高扩展性.高安全性,受到了越来越多的运维人员追捧.但是针对Linux服务器操作系统的安全事件也非 ...

  3. 一些关于Linux入侵应急响应的碎碎念

    近半年做了很多应急响应项目,针对黑客入侵.但疲于没有时间来总结一些常用的东西,寄希望用这篇博文分享一些安全工程师在处理应急响应时常见的套路,因为方面众多可能有些杂碎. 个人认为入侵响应的核心无外乎四个 ...

  4. 6.【应急响应】Linux入侵排查思路

    0x01 入侵排查思路 一.账号安全 基本使用: 1.用户信息文件/etc/passwd root:x:0:0:root:/root:/bin/bash account:password:UID:GI ...

  5. 【应急响应】Linux安全加固

    一.补丁管理 1.查看系统信息 uname -a 2.配置yun源 CentosOS 可以直接升级 RHEL系列可以配置使用CentosOS源 3.升级软件包 yum –y update 二.安全工具 ...

  6. Linux应急响应思路详谈

    一.主机篇: 1.自动化初筛,建议使用RootkitHunter (1)安装 $sudo wget https://jaist.dl.sourceforge.net/project/rkhunter/ ...

  7. Android 学习笔记之Volley(六)实现获取服务器的字符串响应...

    学习内容: 1.使用StringRequest实现获取服务器的字符串响应...   前几篇一直都在对服务——响应过程的源码进行分析,解析了整个过程,那么Volley中到底实现了哪些请求才是我们在开发中 ...

  8. Linux应急响应入侵排查思路

    0x00 前言 ​ 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解 ...

  9. windows应急响应入侵排查思路

    0x00 前言 ​ 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解 ...

随机推荐

  1. openstack Rocky 社区版部署1.2 安装ntp service

    一.controller节点安装ntp 1 安装ntp服务 yum install chrony 2 Edit the chrony.conf file and add, change, or rem ...

  2. oracle闪回,找回已提交修改的记录

    版权声明:本文为博主原创文章,未经博主允许不得转载. https://blog.csdn.net/qq_24521431/article/details/84580166 例如删除ward_id为96 ...

  3. 简单几步让CentOS系统时间同步

    在使用CentOS系统的时候,我们可能会遇到时间不准的问题,那我们如何解决这个我问题呢,下面就来教大家一个CentOS系统时间同步的方法,希望大家可以解决自己所存在的疑问. CentOS系统时间同步的 ...

  4. Python3笔记001 - 1.1 python概述

    第1章 认识python python语言特点 跨平台 开源的 解释型 面向对象 python语言的特点是:以对象为核心组织代码,支持多种编程范式,采用动态类型,自动进行内存回收,并能调用C语言库进行 ...

  5. expected single matching bean but found 2: menusServiceImpl,IMenusService

    问题如下: 接口也作为匹配的bean? 有点迷惑了....... 经过在网上找资料,发现和@MapperScan这个注解有关系,具体源码不止.但是这个注解会扫描路径下的所有类. 去掉这个注解就可以正常 ...

  6. 切忌一步到位,谈谈DevOps实施落地

    2020年6月19日,由云计算开源产业联盟指导,高效运维社区和 DevOps 时代社区联合举办的GNSEC 2020线上峰会圆满举办.BoCloud博云参加了本次峰会并分享了博云帮助客户实施DevOp ...

  7. Java入门系列之访问修饰符作用范围

    前言 之前以为Java和C#中访问修饰符差不多一样,后面才了解到还是有些差异,本节只讲解学习Java中访问修饰符一些需要注意的地方或者从概念上不太好理解我们会通过实际例子来说明,若有错误之处,还请批评 ...

  8. ES6入门(二)

    目录 ES6入门(二) es6之解构赋值 数组的解构赋值 对象的解构赋值 字符串的解构赋值 数值和布尔值的解构赋值 函数参数的解构赋值 圆括号问题 ES6入门(二) es6之解构赋值 数组的解构赋值 ...

  9. 【高并发】面试官问我如何使用Nginx实现限流,我如此回答轻松拿到了Offer!

    写在前面 最近,有不少读者说看了我的文章后,学到了很多知识,其实我本人听到后是非常开心的,自己写的东西能够为大家带来帮助,确实是一件值得高兴的事情.最近,也有不少小伙伴,看了我的文章后,顺利拿到了大厂 ...

  10. (四)pandas的拼接操作

    pandas的拼接操作 #重点 pandas的拼接分为两种: 级联:pd.concat, pd.append 合并:pd.merge, pd.join 0. 回顾numpy的级联 import num ...