Linux服务器安全事件应急响应排查方法总结

Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能、高扩展性、高安全性,受到了越来越多的运维人员追捧。但是针对Linux服务器操作系统的安全事件也非常多的。攻击方式主要是弱口令攻击、远程溢出攻击及其他应用漏洞攻击等。我的VPS在前几天就遭受了一次被恶意利用扫描其他主机SSH弱口令安全问题。以下是我针对此次攻击事件,结合工作中Linux安全事件分析处理办法,总结Linux安全应急响应过程中的分析方法。

一、分析原则

1.重要数据先备份再分析,尽量不要在原来的系统中分析;

2.已经被入侵的系统都不再安全,如果条件允许最好采用第三方系统进行分析

二、分析目标

1.找到攻击来源IP

2.找到入侵途径

3.分析影响范围

4.量化影响级别

三、数据备份采集

1.痕迹数据永远是分析安全事件最重要的数据

在分析过程中,痕迹数据永远是最重要的数据资料。所以第一件事自然是备份相关痕迹数据。痕迹数据主要包含如下几点:

1.系统日志:message、secure、cron、mail等系统日志;

2.应用程序日志:Apache日志、Nginx日志、FTP日志、MySQL等日志;

3.自定义日志:很多程序开发过程中会自定义程序日志,这些日志也是很重要的数据,能够帮我们分析入侵途径等信息;

4.bash_history:这是bash执行过程中记录的bash日志信息,能够帮我们查看bash执行了哪些命令。

5.其他安全事件相关日志记录

分析这些日志的时候一定要先备份,我们可以通过tar压缩备份好,再进行分析,如果遇到日志较大,可以尽可能通过splunk等海量日志分析工具进行分析。以下是完整备份var/log路径下所有文件的命令,其他日志可以参照此命令:

复制代码

代码如下:

#备份系统日志及默认的httpd服务日志

tar -cxvf logs.tar.gz /var/html

#备份last

last > last.log

#此时在线用户

w > w.log

2.系统状态

系统状态主要是网络、服务、端口、进程等状态信息的备份工作:

复制代码

代码如下:

#系统服务备份

chkconfig --list > services.log

#进程备份

ps -ef > ps.log

#监听端口备份

netstat -utnpl > port-listen.log

#系统所有端口情况

netstat -ano > port-all.log

3.查看系统、文件异常

主要针对文件的更改时间、属组属主信息问题,新增用户等问题,其他可以类推:

复制代码

代码如下:

#查看用户信息:

cat /etc/passwd

#查找最近5天内更改的文件

find -type f -mtime -5

4.最后扫一下rootkit

Rootkit Hunter和chkrootkit都可以

四、分析方法

大胆猜测是最重要的,猜测入侵途径,然后进行分析一般都会事半功倍。

一般来说,分析日志可以找到很多东西,比如,secure日志可以查看Accept关键字;last可以查看登录信息;bash_history可以查看命令执行信息等,不同的日志有不同的查看方式,最好是系统管理员的陪同下逐步排查,因为系统管理员才最懂他的服务器系统。此处不做太多赘述。

五、分析影响

根据服务器的用途、文件内容、机密情况结合数据泄漏、丢失风险,对系统使用者影响等进行影响量化,并记录相关安全事件,总结分析,以便后期总结。

如果已经被进行过内网渗透,还需要及时排查内网机器的安全风险,及时处理。

六、加固方法

已经被入侵的机器,可以打上危险标签,最直接最有效的办法是重装系统或者系统还原。所以经常性的备份操作是必不可少的,特别是源代码和数据库数据。

通过分析的入侵途径,可以进行进一步的加固处理,比如弱口令和应用漏洞等。

(0)

相关推荐

  • 服务器大流量的排查方法

    造成流量大的原因主要有以下几点: 网站规模较大(比如门户网站、网络商城等),即网站本身访问量需求大,查看网站的Page View值、Hits值、日流量都很高。 网站页面设计不合理,页面中包含大图片或音 ...

  • Linux服务器上的网站关闭的方法

    很多人想知道Linux服务器上的网站如何关闭,因为网站是在WDCP服务器上的,而停止WDCP服务器的方法和停止WINDOWS服务器的方法又不一样的.这个要具体问题具体分析.下面就来看看Linux服务器 ...

  • Linux服务器被黑怎么办

    平时会有一些朋友遇见服务器被黑的问题,经过搜集和整理相关的相关的材料,在这里本人给大家找到了linux服务器被黑的解决方法,希望大家看后会有不少收获。如果你安装了所有正确的补丁,拥有经过测试的防火墙, ...

  • 阿里云linux服务器修改root管理密码教程

    阿里云主机己是国内小型站长的一个非常好的选择了,不但技术成熟并且网络质量非常的好了,下面我们来看看阿里云linux服务器修改root管理密码方法,希望能帮助到各位。 阿里云linux服务器修改root ...

  • 阿里云linux服务器如何修改root管理密码

    阿里云主机己是国内小型站长的一个非常好的选择了,不但技术成熟并且网络质量非常的好了,下面我们来看看阿里云linux服务器修改root管理密码方法,希望能帮助到各位. 阿里云linux服务器修改root ...

  • 苹果手机Safari打不开网页因为服务器已停止响应怎么办

    很多果粉朋友在使用Safari留言网页的时候,可能都遇到过"Safari打不开网页因为服务器已停止响应"的故障提示.那么这种故障是什么原因导致的,又该如何解决呢?下面小编为大家详细 ...

  • 如何查看Linux服务器的IP地址?

    Linux的IP地址怎么查询?跟着小编一起来看看吧.方法如下一.鼠标右键Linux桌面:二.选择"打开终端"选项:三.在窗口内输入如图所示的命令:四.戒指输入另一个命令[ifcon ...

  • linux服务器下LNMP安装与配置方法

    现在很多朋友都选择了linux服务器下配置LNMP(linux+nginx+mysql+php),这里分享下LNMP安装与配置方法,需要的朋友可以参考下 Nginx与apache、lighttp性能综 ...

  • Linux服务器被rootkit恶意软件攻击后的处理方法

    rootkit是一种恶意软件,通常和木马等其他恶意程序一起结合使用,而Linux是其重要的攻击对象,那么Linux被rootkit攻击后该怎么办呢?下面小编就给大家介绍下Linux服务器被rootki ...