Linux伺服器安全事件應急響應排查方法總結

來源:互聯網
上載者:User

   Linux是伺服器作業系統中最常用的作業系統,因為其擁有高效能、高擴充性、高安全性,受到了越來越多的營運人員追捧。但是針對Linux伺服器作業系統的安全事件也非常多的。攻擊方式主要是弱口令攻擊、遠程溢出攻擊及其他應用漏洞攻擊等。我的VPS在前幾天就遭受了一次被惡意利用掃描其他主機SSH弱口令安全問題。以下是我針對此次攻擊事件,結合工作中Linux安全事件分析處理辦法,總結Linux安全應急響應過程中的分析方法。

   一、分析原則   1.重要資料先備份再分析,盡量不要在原來的系統中分析;   2.已經被入侵的系統都不再安全,如果條件允許最好採用第三方系統進行分析   二、分析目標   1.找到攻擊來源IP   2.找到入侵途徑   3.分析影響範圍   4.量化影響層級   三、資料備份採集   1.痕迹資料永遠是分析安全事件最重要的資料   在分析過程中,痕迹資料永遠是最重要的資料資料。所以第一件事自然是備份相關痕迹資料。痕迹資料主要包含如下幾點:   1.系統日誌:message、secure、cron、mail等系統日誌;   2.應用程式記錄檔:Apache日誌、Nginx日誌、FTP日誌、MySQL等日誌;   3.自訂日誌:很多程式開發過程中會自訂程式日誌,這些日誌也是很重要的資料,能夠幫我們分析入侵途徑等資訊;   4.bash_history:這是bash執行過程中記錄的bash日誌資訊,能夠幫我們查看bash執行了哪些命令。   5.其他安全事件相關日誌記錄   分析這些日誌的時候一定要先備份,我們可以通過tar壓縮備份好,再進行分析,如果遇到日誌較大,可以儘可能通過splunk等海量日誌分析工具進行分析。以下是完整備份var/log路徑下所有檔案的命令,其他日誌可以參照此命令:   複製代碼   代碼如下:   #備份系統日誌及預設的httpd服務日誌   tar -cxvf logs.tar.gz /var/html   #備份last   last > last.log   #此時線上使用者   w > w.log   2.系統狀態   系統狀態主要是網路、服務、連接埠、進程等狀態資訊的備份工作:   複製代碼   代碼如下:   #系統服務備份   chkconfig --list > services.log   #進程備份   ps -ef > ps.log   #監聽連接埠備份   netstat -utnpl > port-listen.log   #系統所有連接埠情況   netstat -ano > port-all.log   3.查看系統、檔案異常   主要針對檔案的更改時間、屬組屬主資訊問題,新增使用者等問題,其他可以類推:   複製代碼   代碼如下:   #查看使用者資訊:   cat /etc/passwd   #尋找最近5天內更改的檔案   find -type f -mtime -5   4.最後掃一下rootkit   Rootkit Hunter和chkrootkit都可以   四、分析方法   大膽猜測是最重要的,猜測入侵途徑,然後進行分析一般都會事半功倍。   一般來說,分析日誌可以找到很多東西,比如,secure日誌可以查看Accept關鍵字;last可以查看登入資訊;bash_history可以查看命令執行資訊等,不同的日誌有不同的查看方式,最好是系統管理員的陪同下逐步排查,因為系統管理員才最懂他的伺服器系統。此處不做太多贅述。   五、分析影響   根據伺服器的用途、檔案內容、機密情況結合資料泄漏、丟失風險,對系統使用者影響等進行影響量化,並記錄相關安全事件,總結分析,以便後期總結。   如果已經被進行過內網滲透,還需要及時排查內網機器的安全風險,及時處理。   六、加固方法   已經被入侵的機器,可以打上危險標籤,最直接最有效辦法是重裝系統或者系統還原。所以經常性的備份操作是必不可少的,特別是原始碼和資料庫資料。   通過分析的入侵途徑,可以進行進一步的加固處理,比如弱口令和應用漏洞等。 
相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

Starter Package

SSD Cloud server and data transfer for only $2.50 a month

Get Started >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。