淪陷主機(jī)的處置方法有哪些

這篇文章主要講解了“淪陷主機(jī)的處置方法有哪些”，文中的講解內(nèi)容簡(jiǎn)單清晰，易于學(xué)習(xí)與理解，下面請(qǐng)大家跟著小編的思路慢慢深入，一起來研究和學(xué)習(xí)“淪陷主機(jī)的處置方法有哪些”吧！

SETP1：將主機(jī)和當(dāng)前業(yè)務(wù)網(wǎng)絡(luò)隔離

操作意義：將淪陷主機(jī)從業(yè)務(wù)環(huán)境中隔離出來防止黑客通過該主機(jī)進(jìn)行下一步滲透

方法1:直接交換機(jī)上shutdown該服務(wù)器接口

實(shí)例設(shè)置方式：int G0/0/24  shutdown （G0/0/24為示例接口）

方法2:直接服務(wù)器上關(guān)閉網(wǎng)卡  

實(shí)例設(shè)置方式：ifdown eth0（eth0為示例接口）

方法3:斷開網(wǎng)線

實(shí)例操作：將服務(wù)器網(wǎng)口線纜移除

SETP2：接入到帶網(wǎng)絡(luò)的隔離環(huán)境中（建議帶網(wǎng)絡(luò)）并對(duì)流量進(jìn)行捕獲，檢查。

操作意義：記錄下當(dāng)前淪陷主機(jī)工作的網(wǎng)絡(luò)連接方便溯源和檢查異常的通信程序

方法1：直接接入帶網(wǎng)絡(luò)的環(huán)境然后通過TCPDUMP或者 Wireshark 本地抓包

實(shí)際操作：tcpdump -i eth20 -c 10000 -w  eth2.cap，

或者直接在Wireshark上選擇接口開始抓包，然后通過netstat -anob >> 1.txt 保存一份連接信息，最后對(duì)抓出來的數(shù)據(jù)包進(jìn)行分析和過濾（例如你應(yīng)用是使用TCP8080端口 你可以使用過濾器not tcp.port == 8080 查看非業(yè)務(wù)流量）

方法2：通過端口鏡像進(jìn)行抓包

實(shí)際操作：通過使用端口鏡像命令將服務(wù)器流量引入到抓包主機(jī)對(duì)流量進(jìn)行收集

然后通過netstat -anob >> 1.txt 保存一份連接信息，最后對(duì)抓出來的數(shù)據(jù)包進(jìn)行分析和過濾

SETP3：日志保存和分析

操作意義：檢查日志服務(wù)器日志和本地日志（不僅限于服務(wù)器）發(fā)現(xiàn)入侵痕跡。

優(yōu)先檢查secure日志，和系統(tǒng)應(yīng)用日志，cron ，btmp日志等。

/var/log/message 系統(tǒng)啟動(dòng)后的信息和錯(cuò)誤日志

/var/log/secure 與安全相關(guān)的日志信息

/var/log/maillog 與郵件相關(guān)的日志信息

/var/log/cron 與定時(shí)任務(wù)相關(guān)的日志信息

/var/log/spooler 與UUCP和news設(shè)備相關(guān)的日志信息

/var/log/boot.log 守護(hù)進(jìn)程啟動(dòng)和停止相關(guān)的日志消息

/var/log/httpd，/var/log/mysqld.log 應(yīng)用日志（該httpd只是舉例說明）

/var/run/utmp 記錄著現(xiàn)在登錄的用戶
/var/log/lastlog 記錄每個(gè)用戶最后的登錄信息
/var/log/btmp 記錄錯(cuò)誤的登錄嘗試
/var/log/dmesg內(nèi)核日志
/var/log/cpus CPU的處理信息
/var/log/syslog 事件記錄監(jiān)控程序日志
/var/log/auth.log 用戶認(rèn)證日志
/var/log/daemon.log 系統(tǒng)進(jìn)程日志

SETP4：通過應(yīng)用副本文件檢查應(yīng)用服務(wù)端有沒有被篡改

操作意義：檢查應(yīng)用是否受到感染。

方法1：通過MD5sum 命令 對(duì)比正常副本和當(dāng)前服務(wù)器副本的MD5差距。檢查應(yīng)用是否受到感染。

方法2：通過類似Beyond Compare這類文件進(jìn)行文件不同的比對(duì)。

SETP5：檢查常規(guī)用戶和文件權(quán)限配置和系統(tǒng)配置

操作意義：檢查系統(tǒng)異常表現(xiàn)，推測(cè)入侵手段。

1. 檢查帳戶
   # less /etc/passwd
   # grep :0: /etc/passwd（檢查是否產(chǎn)生了新用戶，和UID、GID是0的用戶）
   # ls -l /etc/passwd（查看文件修改日期）
   # awk -F: ‘$3= =0 {print $1}’ /etc/passwd（查看是否存在特權(quán)用戶）
   # awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow（查看是否存在空口令帳戶）

（window下可以 net user 類命令查看）

1. 檢查進(jìn)程
   # ps -aux（注意UID是0的）
   # lsof -p pid（察看該進(jìn)程所打開端口和文件）
   # cat /etc/inetd.conf | grep -v “^#”（檢查守護(hù)進(jìn)程）
   檢查隱藏進(jìn)程
   # ps -ef|awk ‘{print }’|sort -n|uniq >1
   # ls /porc |sort -n|uniq >2

2. 檢查后門
   # cat /etc/crontab
   # ls /var/spool/cron/
   # cat /etc/rc.d/rc.local
   # ls /etc/rc.d
   # ls /etc/rc3.d
   # find / -type f -perm 4000

（windows可以通過ICESWORD和任務(wù)管理器之類的工具檢查）

檢查計(jì)劃任務(wù)
注意root和UID是0的schedule
# crontab –u root –l
# cat /etc/crontab
# ls /etc/cron.*

檢查裝載的內(nèi)核模塊

#lsmod

檢查系統(tǒng)服務(wù)

Chkconfig  

查目錄權(quán)限

Ls -l

（windows鼠標(biāo)右鍵的權(quán)限管理）

SETP6：服務(wù)器殺毒

操作意義：通過殺毒程式檢測(cè)后門

操作示例：直接安裝較不熱門且較強(qiáng)力殺毒軟件查殺，例如麥咖啡，小紅傘 avast！之類的。（推薦使用兩款以上，防止免殺）。

SETP7：業(yè)務(wù)數(shù)據(jù)備份（可以擴(kuò)展4頁）

操作意義:備份業(yè)務(wù)數(shù)據(jù)用于恢復(fù)

操作示例：看業(yè)務(wù)環(huán)境 可以直接通過復(fù)制還是通過相關(guān)設(shè)備或者軟件直接備份。

SETP8：操作系統(tǒng)的重新安裝，打上最新補(bǔ)?。ㄏ到y(tǒng)和服務(wù)軟件），系統(tǒng)加固

并恢復(fù)業(yè)務(wù)

操作意義：恢復(fù)業(yè)務(wù)運(yùn)行，并加固系統(tǒng)

操作示例：通過重新安裝官方下載的操作系統(tǒng)和服務(wù)程序，打上最新補(bǔ)丁保證主機(jī)不會(huì)因舊漏洞淪陷，通過最小權(quán)限規(guī)則法把用戶權(quán)限設(shè)置為最低。

SETP9：服務(wù)安全性重新評(píng)估

操作意義：檢測(cè)服務(wù)器加固最優(yōu)狀態(tài)下的防御能力

操作示例：各種掃描器伺候，各種滲透測(cè)試。

感謝各位的閱讀，以上就是“淪陷主機(jī)的處置方法有哪些”的內(nèi)容了，經(jīng)過本文的學(xué)習(xí)后，相信大家對(duì)淪陷主機(jī)的處置方法有哪些這一問題有了更深刻的體會(huì)，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是億速云，小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章，歡迎關(guān)注！