中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何進行Linux服務器安全事件應急響應排查

發布時間:2021-09-27 13:40:48 來源:億速云 閱讀:151 作者:iii 欄目:系統運維

這篇文章主要介紹“如何進行Linux服務器安全事件應急響應排查”,在日常操作中,相信很多人在如何進行Linux服務器安全事件應急響應排查問題上存在疑惑,小編查閱了各式資料,整理出簡單好用的操作方法,希望對大家解答”如何進行Linux服務器安全事件應急響應排查”的疑惑有所幫助!接下來,請跟著小編一起來學習吧!

Linux是服務器操作系統中最常用的操作系統,因為其擁有高性能、高擴展性、高安全性,受到了越來越多的運維人員追捧。但是針對Linux服務器操作系統的安全事件也非常多的。攻擊方式主要是弱口令攻擊、遠程溢出攻擊及其他應用漏洞攻擊等。我的VPS在前幾天就遭受了一次被惡意利用掃描其他主機SSH弱口令安全問題。以下是我針對此次攻擊事件,結合工作中Linux安全事件分析處理辦法,總結Linux安全應急響應過程中的分析方法。

一、分析原則

1.重要數據先備份再分析,盡量不要在原來的系統中分析;
2.已經被入侵的系統都不再安全,如果條件允許最好采用第三方系統進行分析

二、分析目標

1.找到攻擊來源IP
2.找到入侵途徑
3.分析影響范圍
4.量化影響級別

三、數據備份采集

1.痕跡數據永遠是分析安全事件最重要的數據

在分析過程中,痕跡數據永遠是最重要的數據資料。所以第一件事自然是備份相關痕跡數據。痕跡數據主要包含如下幾點:

1.系統日志:message、secure、cron、mail等系統日志;
2.應用程序日志:Apache日志、Nginx日志、FTP日志、MySQL等日志;
3.自定義日志:很多程序開發過程中會自定義程序日志,這些日志也是很重要的數據,能夠幫我們分析入侵途徑等信息;
4.bash_history:這是bash執行過程中記錄的bash日志信息,能夠幫我們查看bash執行了哪些命令。
5.其他安全事件相關日志記錄

分析這些日志的時候一定要先備份,我們可以通過tar壓縮備份好,再進行分析,如果遇到日志較大,可以盡可能通過splunk等海量日志分析工具進行分析。以下是完整備份var/log路徑下所有文件的命令,其他日志可以參照此命令:

代碼如下:

#備份系統日志及默認的httpd服務日志
tar -cxvf logs.tar.gz /var/html</p> <p>#備份last
last > last.log</p> <p>#此時在線用戶
w > w.log

2.系統狀態

系統狀態主要是網絡、服務、端口、進程等狀態信息的備份工作:

代碼如下:

#系統服務備份
chkconfig --list > services.log</p> <p>#進程備份
ps -ef > ps.log</p> <p>#監聽端口備份
netstat -utnpl > port-listen.log</p> <p>#系統所有端口情況
netstat -ano > port-all.log

3.查看系統、文件異常
主要針對文件的更改時間、屬組屬主信息問題,新增用戶等問題,其他可以類推:

代碼如下:

#查看用戶信息:
cat /etc/passwd</p> <p>#查找最近5天內更改的文件
find -type f -mtime -5

4.最后掃一下rootkit
Rootkit Hunter和chkrootkit都可以

四、分析方法

大膽猜測是最重要的,猜測入侵途徑,然后進行分析一般都會事半功倍。
一般來說,分析日志可以找到很多東西,比如,secure日志可以查看Accept關鍵字;last可以查看登錄信息;bash_history可以查看命令執行信息等,不同的日志有不同的查看方式,最好是系統管理員的陪同下逐步排查,因為系統管理員才最懂他的服務器系統。此處不做太多贅述。

五、分析影響

根據服務器的用途、文件內容、機密情況結合數據泄漏、丟失風險,對系統使用者影響等進行影響量化,并記錄相關安全事件,總結分析,以便后期總結。
如果已經被進行過內網滲透,還需要及時排查內網機器的安全風險,及時處理。

六、加固方法

已經被入侵的機器,可以打上危險標簽,最直接最有效的辦法是重裝系統或者系統還原。所以經常性的備份操作是必不可少的,特別是源代碼和數據庫數據。
通過分析的入侵途徑,可以進行進一步的加固處理,比如弱口令和應用漏洞等。

到此,關于“如何進行Linux服務器安全事件應急響應排查”的學習就結束了,希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習,快去試試吧!若想繼續學習更多相關知識,請繼續關注億速云網站,小編會繼續努力為大家帶來更多實用的文章!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

通化市| 大城县| 内黄县| 鄯善县| 攀枝花市| 老河口市| 宁阳县| 卢龙县| 新宁县| 龙江县| 荔浦县| 西青区| 耒阳市| 田东县| 尉犁县| 承德县| 奈曼旗| 葫芦岛市| 荆州市| 南漳县| 汕头市| 日土县| 甘泉县| 名山县| 昌邑市| 万荣县| 托里县| 同心县| 汶上县| 麦盖提县| 洛川县| 弋阳县| 锡林郭勒盟| 勃利县| 仁怀市| 和林格尔县| 阳江市| 神木县| 金塔县| 北安市| 双鸭山市|