技術(shù)員聯(lián)盟提供win764位系統(tǒng)下載,win10,win7,xp,裝機(jī)純凈版,64位旗艦版,綠色軟件,免費(fèi)軟件下載基地!

當(dāng)前位置:主頁(yè) > 教程 > 服務(wù)器類(lèi) >

Linux服務(wù)器安全事件應(yīng)急響應(yīng)排查方法總結(jié)

來(lái)源:技術(shù)員聯(lián)盟┆發(fā)布時(shí)間:2018-03-23 12:03┆點(diǎn)擊:

  Linux是服務(wù)器操作系統(tǒng)中最常用的操作系統(tǒng),因?yàn)槠鋼碛懈咝阅?、高擴(kuò)展性、高安全性,受到了越來(lái)越多的運(yùn)維人員追捧。但是針對(duì)Linux服務(wù)器操作系統(tǒng)的安全事件也非常多的。攻擊方式主要是弱口令攻擊、遠(yuǎn)程溢出攻擊及其他應(yīng)用漏洞攻擊等。我的VPS在前幾天就遭受了一次被惡意利用掃描其他主機(jī)SSH弱口令安全問(wèn)題。以下是我針對(duì)此次攻擊事件,結(jié)合工作中Linux安全事件分析處理辦法,總結(jié)Linux安全應(yīng)急響應(yīng)過(guò)程中的分析方法。

 

  一、分析原則

 

  1.重要數(shù)據(jù)先備份再分析,盡量不要在原來(lái)的系統(tǒng)中分析;

 

  2.已經(jīng)被入侵的系統(tǒng)都不再安全,如果條件允許最好采用第三方系統(tǒng)進(jìn)行分析

 

  二、分析目標(biāo)

 

  1.找到攻擊來(lái)源IP

 

  2.找到入侵途徑

 

  3.分析影響范圍

 

  4.量化影響級(jí)別

 

  三、數(shù)據(jù)備份采集

 

  1.痕跡數(shù)據(jù)永遠(yuǎn)是分析安全事件最重要的數(shù)據(jù)

 

  在分析過(guò)程中,痕跡數(shù)據(jù)永遠(yuǎn)是最重要的數(shù)據(jù)資料。所以第一件事自然是備份相關(guān)痕跡數(shù)據(jù)。痕跡數(shù)據(jù)主要包含如下幾點(diǎn):

 

  1.系統(tǒng)日志:message、secure、cron、mail等系統(tǒng)日志;

 

  2.應(yīng)用程序日志:Apache日志、Nginx日志、FTP日志、MySQL等日志;

 

  3.自定義日志:很多程序開(kāi)發(fā)過(guò)程中會(huì)自定義程序日志,這些日志也是很重要的數(shù)據(jù),能夠幫我們分析入侵途徑等信息;

 

  4.bash_history:這是bash執(zhí)行過(guò)程中記錄的bash日志信息,能夠幫我們查看bash執(zhí)行了哪些命令。

 

  5.其他安全事件相關(guān)日志記錄

 

  分析這些日志的時(shí)候一定要先備份,我們可以通過(guò)tar壓縮備份好,再進(jìn)行分析,如果遇到日志較大,可以盡可能通過(guò)splunk等海量日志分析工具進(jìn)行分析。以下是完整備份var/log路徑下所有文件的命令,其他日志可以參照此命令:

 

  復(fù)制代碼

 

  代碼如下:

 

  #備份系統(tǒng)日志及默認(rèn)的httpd服務(wù)日志

 

  tar -cxvf logs.tar.gz /var/html

 

  #備份last

 

  last > last.log

 

  #此時(shí)在線用戶

 

  w > w.log

 

  2.系統(tǒng)狀態(tài)

 

  系統(tǒng)狀態(tài)主要是網(wǎng)絡(luò)、服務(wù)、端口、進(jìn)程等狀態(tài)信息的備份工作:

 

  復(fù)制代碼

 

  代碼如下:

 

  #系統(tǒng)服務(wù)備份

 

  chkconfig --list > services.log

 

  #進(jìn)程備份

 

  ps -ef > ps.log

 

  #監(jiān)聽(tīng)端口備份

 

  netstat -utnpl > port-listen.log

 

  #系統(tǒng)所有端口情況

 

  netstat -ano > port-all.log

 

  3.查看系統(tǒng)、文件異常

 

  主要針對(duì)文件的更改時(shí)間、屬組屬主信息問(wèn)題,新增用戶等問(wèn)題,其他可以類(lèi)推:

 

  復(fù)制代碼

 

  代碼如下:

 

  #查看用戶信息:

 

  cat /etc/passwd

 

  #查找最近5天內(nèi)更改的文件

 

  find -type f -mtime -5

 

  4.最后掃一下rootkit

 

  Rootkit Hunter和chkrootkit都可以

 

  四、分析方法

 

  大膽猜測(cè)是最重要的,猜測(cè)入侵途徑,然后進(jìn)行分析一般都會(huì)事半功倍。

 

  一般來(lái)說(shuō),分析日志可以找到很多東西,比如,secure日志可以查看Accept關(guān)鍵字;last可以查看登錄信息;bash_history可以查看命令執(zhí)行信息等,不同的日志有不同的查看方式,最好是系統(tǒng)管理員的陪同下逐步排查,因?yàn)橄到y(tǒng)管理員才最懂他的服務(wù)器系統(tǒng)。此處不做太多贅述。

 

  五、分析影響

 

  根據(jù)服務(wù)器的用途、文件內(nèi)容、機(jī)密情況結(jié)合數(shù)據(jù)泄漏、丟失風(fēng)險(xiǎn),對(duì)系統(tǒng)使用者影響等進(jìn)行影響量化,并記錄相關(guān)安全事件,總結(jié)分析,以便后期總結(jié)。

 

  如果已經(jīng)被進(jìn)行過(guò)內(nèi)網(wǎng)滲透,還需要及時(shí)排查內(nèi)網(wǎng)機(jī)器的安全風(fēng)險(xiǎn),及時(shí)處理。

 

  六、加固方法

 

  已經(jīng)被入侵的機(jī)器,可以打上危險(xiǎn)標(biāo)簽,最直接最有效的辦法是重裝系統(tǒng)或者系統(tǒng)還原。所以經(jīng)常性的備份操作是必不可少的,特別是源代碼和數(shù)據(jù)庫(kù)數(shù)據(jù)。

 

  通過(guò)分析的入侵途徑,可以進(jìn)行進(jìn)一步的加固處理,比如弱口令和應(yīng)用漏洞等。