您好,登錄后才能下訂單哦!
這篇文章主要講解了“淪陷主機(jī)的處置方法有哪些”,文中的講解內(nèi)容簡(jiǎn)單清晰,易于學(xué)習(xí)與理解,下面請(qǐng)大家跟著小編的思路慢慢深入,一起來研究和學(xué)習(xí)“淪陷主機(jī)的處置方法有哪些”吧!
操作意義:將淪陷主機(jī)從業(yè)務(wù)環(huán)境中隔離出來防止黑客通過該主機(jī)進(jìn)行下一步滲透
方法1:直接交換機(jī)上shutdown該服務(wù)器接口
實(shí)例設(shè)置方式:int G0/0/24 shutdown (G0/0/24為示例接口)
方法2:直接服務(wù)器上關(guān)閉網(wǎng)卡
實(shí)例設(shè)置方式:ifdown eth0(eth0為示例接口)
方法3:斷開網(wǎng)線
實(shí)例操作:將服務(wù)器網(wǎng)口線纜移除
操作意義:記錄下當(dāng)前淪陷主機(jī)工作的網(wǎng)絡(luò)連接方便溯源和檢查異常的通信程序
方法1:直接接入帶網(wǎng)絡(luò)的環(huán)境然后通過TCPDUMP或者 Wireshark 本地抓包
實(shí)際操作:tcpdump -i eth20 -c 10000 -w eth2.cap,
或者直接在Wireshark上選擇接口開始抓包,然后通過netstat -anob >> 1.txt 保存一份連接信息,最后對(duì)抓出來的數(shù)據(jù)包進(jìn)行分析和過濾(例如你應(yīng)用是使用TCP8080端口 你可以使用過濾器not tcp.port == 8080 查看非業(yè)務(wù)流量)
方法2:通過端口鏡像進(jìn)行抓包
實(shí)際操作:通過使用端口鏡像命令將服務(wù)器流量引入到抓包主機(jī)對(duì)流量進(jìn)行收集
然后通過netstat -anob >> 1.txt 保存一份連接信息,最后對(duì)抓出來的數(shù)據(jù)包進(jìn)行分析和過濾
操作意義:檢查日志服務(wù)器日志和本地日志(不僅限于服務(wù)器)發(fā)現(xiàn)入侵痕跡。
優(yōu)先檢查secure日志,和系統(tǒng)應(yīng)用日志,cron ,btmp日志等。
/var/log/message 系統(tǒng)啟動(dòng)后的信息和錯(cuò)誤日志
/var/log/secure 與安全相關(guān)的日志信息
/var/log/maillog 與郵件相關(guān)的日志信息
/var/log/cron 與定時(shí)任務(wù)相關(guān)的日志信息
/var/log/spooler 與UUCP和news設(shè)備相關(guān)的日志信息
/var/log/boot.log 守護(hù)進(jìn)程啟動(dòng)和停止相關(guān)的日志消息
/var/log/httpd,/var/log/mysqld.log 應(yīng)用日志(該httpd只是舉例說明)
/var/run/utmp 記錄著現(xiàn)在登錄的用戶
/var/log/lastlog 記錄每個(gè)用戶最后的登錄信息
/var/log/btmp 記錄錯(cuò)誤的登錄嘗試
/var/log/dmesg內(nèi)核日志
/var/log/cpus CPU的處理信息
/var/log/syslog 事件記錄監(jiān)控程序日志
/var/log/auth.log 用戶認(rèn)證日志
/var/log/daemon.log 系統(tǒng)進(jìn)程日志
操作意義:檢查應(yīng)用是否受到感染。
方法1:通過MD5sum 命令 對(duì)比正常副本和當(dāng)前服務(wù)器副本的MD5差距。檢查應(yīng)用是否受到感染。
方法2:通過類似Beyond Compare這類文件進(jìn)行文件不同的比對(duì)。
操作意義:檢查系統(tǒng)異常表現(xiàn),推測(cè)入侵手段。
檢查帳戶
# less /etc/passwd
# grep :0: /etc/passwd(檢查是否產(chǎn)生了新用戶,和UID、GID是0的用戶)
# ls -l /etc/passwd(查看文件修改日期)
# awk -F: ‘$3= =0 {print $1}’ /etc/passwd(查看是否存在特權(quán)用戶)
# awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow(查看是否存在空口令帳戶)
(window下可以 net user 類命令查看)
檢查進(jìn)程
# ps -aux(注意UID是0的)
# lsof -p pid(察看該進(jìn)程所打開端口和文件)
# cat /etc/inetd.conf | grep -v “^#”(檢查守護(hù)進(jìn)程)
檢查隱藏進(jìn)程
# ps -ef|awk ‘{print }’|sort -n|uniq >1
# ls /porc |sort -n|uniq >2
檢查后門
# cat /etc/crontab
# ls /var/spool/cron/
# cat /etc/rc.d/rc.local
# ls /etc/rc.d
# ls /etc/rc3.d
# find / -type f -perm 4000
(windows可以通過ICESWORD和任務(wù)管理器之類的工具檢查)
檢查計(jì)劃任務(wù)
注意root和UID是0的schedule
# crontab –u root –l
# cat /etc/crontab
# ls /etc/cron.*
檢查裝載的內(nèi)核模塊
#lsmod
檢查系統(tǒng)服務(wù)
Chkconfig
查目錄權(quán)限
Ls -l
(windows鼠標(biāo)右鍵的權(quán)限管理)
操作意義:通過殺毒程式檢測(cè)后門
操作示例:直接安裝較不熱門且較強(qiáng)力殺毒軟件查殺,例如麥咖啡,小紅傘 avast!之類的。(推薦使用兩款以上,防止免殺)。
SETP7:業(yè)務(wù)數(shù)據(jù)備份(可以擴(kuò)展4頁)
操作意義:備份業(yè)務(wù)數(shù)據(jù)用于恢復(fù)
操作示例:看業(yè)務(wù)環(huán)境 可以直接通過復(fù)制還是通過相關(guān)設(shè)備或者軟件直接備份。
操作意義:恢復(fù)業(yè)務(wù)運(yùn)行,并加固系統(tǒng)
操作示例:通過重新安裝官方下載的操作系統(tǒng)和服務(wù)程序,打上最新補(bǔ)丁保證主機(jī)不會(huì)因舊漏洞淪陷,通過最小權(quán)限規(guī)則法把用戶權(quán)限設(shè)置為最低。
操作意義:檢測(cè)服務(wù)器加固最優(yōu)狀態(tài)下的防御能力
操作示例:各種掃描器伺候,各種滲透測(cè)試。
感謝各位的閱讀,以上就是“淪陷主機(jī)的處置方法有哪些”的內(nèi)容了,經(jīng)過本文的學(xué)習(xí)后,相信大家對(duì)淪陷主機(jī)的處置方法有哪些這一問題有了更深刻的體會(huì),具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是億速云,小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章,歡迎關(guān)注!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。