当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息
系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业
挽回或减少经济损失.
常见的应急响应事件分类:
web入侵:网页挂马、主页篡改、Webshell
系统入侵:病毒木马、勒索软件、远控后门
网络攻击:DDOS攻击、DNS劫持、ARP欺骗
具体可查看如下两篇文章:
整理的思维导图:
Linux
账户
查询特权用户特权用户(uid 为0)
1 |
[root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd |
查询可以远程登录的帐号信息
1 |
[root@localhost ~]# awk '/\$1|\$6/{print $1}' /etc/shadow |
除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限
1 |
[root@localhost ~]# more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)" |
禁用或删除多余及可疑的帐号
1 |
usermod -L user |
开机启动
系统运行级别示意图
1 |
运行级别 含义 |
日志分析
定位有多少IP在爆破主机的root帐号:
1 |
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more |
定位有哪些IP在爆破:
1 |
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c |
爆破用户名字典是什么?
1 |
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print |
登录成功的IP有哪些:
1 |
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more |
登录成功的日期、用户名、IP:
1 |
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' |
参考文章:
FROM :blog.cfyqy.com | Author:cfyqy
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论