Linux伺服器安全事件應急響應排查方法總結

 　　Linux是伺服器作業系統中最常用的作業系統，因為其擁有高效能、高擴充性、高安全性，受到了越來越多的營運人員追捧。但是針對Linux伺服器作業系統的安全事件也非常多的。攻擊方式主要是弱口令攻擊、遠程溢出攻擊及其他應用漏洞攻擊等。我的VPS在前幾天就遭受了一次被惡意利用掃描其他主機SSH弱口令安全問題。以下是我針對此次攻擊事件，結合工作中Linux安全事件分析處理辦法，總結Linux安全應急響應過程中的分析方法。

 　　一、分析原則 　　1.重要資料先備份再分析，盡量不要在原來的系統中分析; 　　2.已經被入侵的系統都不再安全，如果條件允許最好採用第三方系統進行分析 　　二、分析目標 　　1.找到攻擊來源IP 　　2.找到入侵途徑 　　3.分析影響範圍 　　4.量化影響層級 　　三、資料備份採集 　　1.痕迹資料永遠是分析安全事件最重要的資料 　　在分析過程中，痕迹資料永遠是最重要的資料資料。所以第一件事自然是備份相關痕迹資料。痕迹資料主要包含如下幾點： 　　1.系統日誌：message、secure、cron、mail等系統日誌; 　　2.應用程式記錄檔：Apache日誌、Nginx日誌、FTP日誌、MySQL等日誌; 　　3.自訂日誌：很多程式開發過程中會自訂程式日誌，這些日誌也是很重要的資料，能夠幫我們分析入侵途徑等資訊; 　　4.bash_history：這是bash執行過程中記錄的bash日誌資訊，能夠幫我們查看bash執行了哪些命令。 　　5.其他安全事件相關日誌記錄 　　分析這些日誌的時候一定要先備份，我們可以通過tar壓縮備份好，再進行分析，如果遇到日誌較大，可以儘可能通過splunk等海量日誌分析工具進行分析。以下是完整備份var/log路徑下所有檔案的命令，其他日誌可以參照此命令： 　　複製代碼 　　代碼如下: 　　#備份系統日誌及預設的httpd服務日誌 　　tar -cxvf logs.tar.gz /var/html 　　#備份last 　　last > last.log 　　#此時線上使用者 　　w > w.log 　　2.系統狀態 　　系統狀態主要是網路、服務、連接埠、進程等狀態資訊的備份工作： 　　複製代碼 　　代碼如下: 　　#系統服務備份 　　chkconfig --list > services.log 　　#進程備份 　　ps -ef > ps.log 　　#監聽連接埠備份 　　netstat -utnpl > port-listen.log 　　#系統所有連接埠情況 　　netstat -ano > port-all.log 　　3.查看系統、檔案異常 　　主要針對檔案的更改時間、屬組屬主資訊問題，新增使用者等問題，其他可以類推： 　　複製代碼 　　代碼如下: 　　#查看使用者資訊： 　　cat /etc/passwd 　　#尋找最近5天內更改的檔案 　　find -type f -mtime -5 　　4.最後掃一下rootkit 　　Rootkit Hunter和chkrootkit都可以 　　四、分析方法 　　大膽猜測是最重要的，猜測入侵途徑，然後進行分析一般都會事半功倍。 　　一般來說，分析日誌可以找到很多東西，比如，secure日誌可以查看Accept關鍵字;last可以查看登入資訊;bash_history可以查看命令執行資訊等，不同的日誌有不同的查看方式，最好是系統管理員的陪同下逐步排查，因為系統管理員才最懂他的伺服器系統。此處不做太多贅述。 　　五、分析影響 　　根據伺服器的用途、檔案內容、機密情況結合資料泄漏、丟失風險，對系統使用者影響等進行影響量化，並記錄相關安全事件，總結分析，以便後期總結。 　　如果已經被進行過內網滲透，還需要及時排查內網機器的安全風險，及時處理。 　　六、加固方法 　　已經被入侵的機器，可以打上危險標籤，最直接最有效辦法是重裝系統或者系統還原。所以經常性的備份操作是必不可少的，特別是原始碼和資料庫資料。 　　通過分析的入侵途徑，可以進行進一步的加固處理，比如弱口令和應用漏洞等。