淪陷主機的處置方法有哪些

這篇文章主要講解了“淪陷主機的處置方法有哪些”，文中的講解內容簡單清晰，易于學習與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學習“淪陷主機的處置方法有哪些”吧！

SETP1：將主機和當前業務網絡隔離

操作意義：將淪陷主機從業務環境中隔離出來防止黑客通過該主機進行下一步滲透

方法1:直接交換機上shutdown該服務器接口

實例設置方式：int G0/0/24  shutdown （G0/0/24為示例接口）

方法2:直接服務器上關閉網卡  

實例設置方式：ifdown eth0（eth0為示例接口）

方法3:斷開網線

實例操作：將服務器網口線纜移除

SETP2：接入到帶網絡的隔離環境中（建議帶網絡）并對流量進行捕獲，檢查。

操作意義：記錄下當前淪陷主機工作的網絡連接方便溯源和檢查異常的通信程序

方法1：直接接入帶網絡的環境然后通過TCPDUMP或者 Wireshark 本地抓包

實際操作：tcpdump -i eth20 -c 10000 -w  eth2.cap，

或者直接在Wireshark上選擇接口開始抓包，然后通過netstat -anob >> 1.txt 保存一份連接信息，最后對抓出來的數據包進行分析和過濾（例如你應用是使用TCP8080端口 你可以使用過濾器not tcp.port == 8080 查看非業務流量）

方法2：通過端口鏡像進行抓包

實際操作：通過使用端口鏡像命令將服務器流量引入到抓包主機對流量進行收集

然后通過netstat -anob >> 1.txt 保存一份連接信息，最后對抓出來的數據包進行分析和過濾

SETP3：日志保存和分析

操作意義：檢查日志服務器日志和本地日志（不僅限于服務器）發現入侵痕跡。

優先檢查secure日志，和系統應用日志，cron ，btmp日志等。

/var/log/message 系統啟動后的信息和錯誤日志

/var/log/secure 與安全相關的日志信息

/var/log/maillog 與郵件相關的日志信息

/var/log/cron 與定時任務相關的日志信息

/var/log/spooler 與UUCP和news設備相關的日志信息

/var/log/boot.log 守護進程啟動和停止相關的日志消息

/var/log/httpd，/var/log/mysqld.log 應用日志（該httpd只是舉例說明）

/var/run/utmp 記錄著現在登錄的用戶
/var/log/lastlog 記錄每個用戶最后的登錄信息
/var/log/btmp 記錄錯誤的登錄嘗試
/var/log/dmesg內核日志
/var/log/cpus CPU的處理信息
/var/log/syslog 事件記錄監控程序日志
/var/log/auth.log 用戶認證日志
/var/log/daemon.log 系統進程日志

SETP4：通過應用副本文件檢查應用服務端有沒有被篡改

操作意義：檢查應用是否受到感染。

方法1：通過MD5sum 命令 對比正常副本和當前服務器副本的MD5差距。檢查應用是否受到感染。

方法2：通過類似Beyond Compare這類文件進行文件不同的比對。

SETP5：檢查常規用戶和文件權限配置和系統配置

操作意義：檢查系統異常表現，推測入侵手段。

1. 檢查帳戶
   # less /etc/passwd
   # grep :0: /etc/passwd（檢查是否產生了新用戶，和UID、GID是0的用戶）
   # ls -l /etc/passwd（查看文件修改日期）
   # awk -F: ‘$3= =0 {print $1}’ /etc/passwd（查看是否存在特權用戶）
   # awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow（查看是否存在空口令帳戶）

（window下可以 net user 類命令查看）

1. 檢查進程
   # ps -aux（注意UID是0的）
   # lsof -p pid（察看該進程所打開端口和文件）
   # cat /etc/inetd.conf | grep -v “^#”（檢查守護進程）
   檢查隱藏進程
   # ps -ef|awk ‘{print }’|sort -n|uniq >1
   # ls /porc |sort -n|uniq >2

2. 檢查后門
   # cat /etc/crontab
   # ls /var/spool/cron/
   # cat /etc/rc.d/rc.local
   # ls /etc/rc.d
   # ls /etc/rc3.d
   # find / -type f -perm 4000

（windows可以通過ICESWORD和任務管理器之類的工具檢查）

檢查計劃任務
注意root和UID是0的schedule
# crontab –u root –l
# cat /etc/crontab
# ls /etc/cron.*

檢查裝載的內核模塊

#lsmod

檢查系統服務

Chkconfig  

查目錄權限

Ls -l

（windows鼠標右鍵的權限管理）

SETP6：服務器殺毒

操作意義：通過殺毒程式檢測后門

操作示例：直接安裝較不熱門且較強力殺毒軟件查殺，例如麥咖啡，小紅傘 avast！之類的。（推薦使用兩款以上，防止免殺）。

SETP7：業務數據備份（可以擴展4頁）

操作意義:備份業務數據用于恢復

操作示例：看業務環境 可以直接通過復制還是通過相關設備或者軟件直接備份。

SETP8：操作系統的重新安裝，打上最新補丁（系統和服務軟件），系統加固

并恢復業務

操作意義：恢復業務運行，并加固系統

操作示例：通過重新安裝官方下載的操作系統和服務程序，打上最新補丁保證主機不會因舊漏洞淪陷，通過最小權限規則法把用戶權限設置為最低。

SETP9：服務安全性重新評估

操作意義：檢測服務器加固最優狀態下的防御能力

操作示例：各種掃描器伺候，各種滲透測試。

感謝各位的閱讀，以上就是“淪陷主機的處置方法有哪些”的內容了，經過本文的學習后，相信大家對淪陷主機的處置方法有哪些這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是億速云，小編將為大家推送更多相關知識點的文章，歡迎關注！