溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

如何進行Linux服務(wù)器安全事件應(yīng)急響應(yīng)排查

發(fā)布時間:2021-09-27 13:40:48 來源:億速云 閱讀:144 作者:iii 欄目:系統(tǒng)運維

這篇文章主要介紹“如何進行Linux服務(wù)器安全事件應(yīng)急響應(yīng)排查”,在日常操作中,相信很多人在如何進行Linux服務(wù)器安全事件應(yīng)急響應(yīng)排查問題上存在疑惑,小編查閱了各式資料,整理出簡單好用的操作方法,希望對大家解答”如何進行Linux服務(wù)器安全事件應(yīng)急響應(yīng)排查”的疑惑有所幫助!接下來,請跟著小編一起來學(xué)習(xí)吧!

Linux是服務(wù)器操作系統(tǒng)中最常用的操作系統(tǒng),因為其擁有高性能、高擴展性、高安全性,受到了越來越多的運維人員追捧。但是針對Linux服務(wù)器操作系統(tǒng)的安全事件也非常多的。攻擊方式主要是弱口令攻擊、遠(yuǎn)程溢出攻擊及其他應(yīng)用漏洞攻擊等。我的VPS在前幾天就遭受了一次被惡意利用掃描其他主機SSH弱口令安全問題。以下是我針對此次攻擊事件,結(jié)合工作中Linux安全事件分析處理辦法,總結(jié)Linux安全應(yīng)急響應(yīng)過程中的分析方法。

一、分析原則

1.重要數(shù)據(jù)先備份再分析,盡量不要在原來的系統(tǒng)中分析;
2.已經(jīng)被入侵的系統(tǒng)都不再安全,如果條件允許最好采用第三方系統(tǒng)進行分析

二、分析目標(biāo)

1.找到攻擊來源IP
2.找到入侵途徑
3.分析影響范圍
4.量化影響級別

三、數(shù)據(jù)備份采集

1.痕跡數(shù)據(jù)永遠(yuǎn)是分析安全事件最重要的數(shù)據(jù)

在分析過程中,痕跡數(shù)據(jù)永遠(yuǎn)是最重要的數(shù)據(jù)資料。所以第一件事自然是備份相關(guān)痕跡數(shù)據(jù)。痕跡數(shù)據(jù)主要包含如下幾點:

1.系統(tǒng)日志:message、secure、cron、mail等系統(tǒng)日志;
2.應(yīng)用程序日志:Apache日志、Nginx日志、FTP日志、MySQL等日志;
3.自定義日志:很多程序開發(fā)過程中會自定義程序日志,這些日志也是很重要的數(shù)據(jù),能夠幫我們分析入侵途徑等信息;
4.bash_history:這是bash執(zhí)行過程中記錄的bash日志信息,能夠幫我們查看bash執(zhí)行了哪些命令。
5.其他安全事件相關(guān)日志記錄

分析這些日志的時候一定要先備份,我們可以通過tar壓縮備份好,再進行分析,如果遇到日志較大,可以盡可能通過splunk等海量日志分析工具進行分析。以下是完整備份var/log路徑下所有文件的命令,其他日志可以參照此命令:

代碼如下:

#備份系統(tǒng)日志及默認(rèn)的httpd服務(wù)日志
tar -cxvf logs.tar.gz /var/html</p> <p>#備份last
last > last.log</p> <p>#此時在線用戶
w > w.log

2.系統(tǒng)狀態(tài)

系統(tǒng)狀態(tài)主要是網(wǎng)絡(luò)、服務(wù)、端口、進程等狀態(tài)信息的備份工作:

代碼如下:

#系統(tǒng)服務(wù)備份
chkconfig --list > services.log</p> <p>#進程備份
ps -ef > ps.log</p> <p>#監(jiān)聽端口備份
netstat -utnpl > port-listen.log</p> <p>#系統(tǒng)所有端口情況
netstat -ano > port-all.log

3.查看系統(tǒng)、文件異常
主要針對文件的更改時間、屬組屬主信息問題,新增用戶等問題,其他可以類推:

代碼如下:

#查看用戶信息:
cat /etc/passwd</p> <p>#查找最近5天內(nèi)更改的文件
find -type f -mtime -5

4.最后掃一下rootkit
Rootkit Hunter和chkrootkit都可以

四、分析方法

大膽猜測是最重要的,猜測入侵途徑,然后進行分析一般都會事半功倍。
一般來說,分析日志可以找到很多東西,比如,secure日志可以查看Accept關(guān)鍵字;last可以查看登錄信息;bash_history可以查看命令執(zhí)行信息等,不同的日志有不同的查看方式,最好是系統(tǒng)管理員的陪同下逐步排查,因為系統(tǒng)管理員才最懂他的服務(wù)器系統(tǒng)。此處不做太多贅述。

五、分析影響

根據(jù)服務(wù)器的用途、文件內(nèi)容、機密情況結(jié)合數(shù)據(jù)泄漏、丟失風(fēng)險,對系統(tǒng)使用者影響等進行影響量化,并記錄相關(guān)安全事件,總結(jié)分析,以便后期總結(jié)。
如果已經(jīng)被進行過內(nèi)網(wǎng)滲透,還需要及時排查內(nèi)網(wǎng)機器的安全風(fēng)險,及時處理。

六、加固方法

已經(jīng)被入侵的機器,可以打上危險標(biāo)簽,最直接最有效的辦法是重裝系統(tǒng)或者系統(tǒng)還原。所以經(jīng)常性的備份操作是必不可少的,特別是源代碼和數(shù)據(jù)庫數(shù)據(jù)。
通過分析的入侵途徑,可以進行進一步的加固處理,比如弱口令和應(yīng)用漏洞等。

到此,關(guān)于“如何進行Linux服務(wù)器安全事件應(yīng)急響應(yīng)排查”的學(xué)習(xí)就結(jié)束了,希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學(xué)習(xí),快去試試吧!若想繼續(xù)學(xué)習(xí)更多相關(guān)知識,請繼續(xù)關(guān)注億速云網(wǎng)站,小編會繼續(xù)努力為大家?guī)砀鄬嵱玫奈恼拢?/p>

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI