服务器被入侵后的应急响应

JAVASEC 2021年1月18日18:26:01评论223 views字数 1752阅读5分50秒阅读模式
摘要

黑客入侵应急响应 应急响应一般是发现服务器被入侵、个人重要信息被窃取、系统拒绝服务、网络流量异常等各种意外事件。
本文主要讲一下linux应急响应中的一下常用方法,仅代表个人观点

黑客入侵应急响应

前言

应急响应一般是发现服务器被入侵、个人重要信息被窃取、系统拒绝服务、网络流量异常等各种意外事件。
本文主要讲一下linux应急响应中的一下常用方法,仅代表个人观点

应急响应

日志文件分析

系统日志:message、secure、cron、mail等系统日志

/var/log/secure,/ar/log/wtmp,var/log/message:jihu            **/var/log/secure**:记录登录系统存取数据的文件,例如pop3,ssh,telnet,ftp等都会记录在此             . **/ar/log/wtmp**:记录登录这的信息记录,被编码过,所以必须以last解析; /var/log/message:jihu所有的开机系统发生的错误都会在此记录; /var/log.boot.log:记录一些开机或者关机启动的一些服务显示的启动或者关闭的信息; /var/log/maillog:记录邮件的存取和往来; /var/log/cron:用来记录crontab这个服务的内容; /var/log/httpd, /var/log/mysqld.log **/var/run/utmp** 记录着现在登录的用户; /var/log/lastlog 记录每个用户最后的登录信息; /var/log/btmp 记录错误的登录尝试; /var/log/syslog 事件记录监控程序日志; /var/log/auth.log 用户认证日志; /var/log/daemon.log 系统进程日志; /var/log/mail.info 邮件信息; 

自定义日志:很多程序开发过程中会自定义程序日志,这些日志也是很重要的数据,能够帮我们分析入侵途径等信息;
应用程序日志:一般每个应用程序都有自己的日志如Apache日志、tomcat日志、Nginx日志、FTP日志、MySQL等日志(web程序访问日志着重分析)

重点文件分析

passwd文件
shadow文件

less /etc/passwd:查看是否有新增用户 grep :0 /etc/passwd:查看是否有特权用户(root权限用户) ls -l /etc/passwd:查看passwd最后修改时间 awk -F: ‘$3==0 {print $1}’ /etc/passwd:查看是否存在特权用户 awk -F: ‘length($2)==0 {print $1}’ /etc/shadow:查看是否存在空口令用户 

uid信息
ssh文件谨防SSH后门
host
rpm包(./rpm -Va > rpm.log)
.bash_history

进程分析

top & ps

ps -aux:查看进程 lsof -p pid:查看进程所打开的端口及文件 

Chkrootkit&Rkhunter
隐藏进程查看

ps -ef | awk '{print}' | sort -n | uniq >1 ls /proc | sort -n |uniq >2 diff 1 2 

后门分析

网站打包查杀webshell

ls /etc/cron* 查看linux 开机启动程序 

rpm包检查

检查是否有可疑的包

内存分析

Volatility

网络分析

Wireshark工具

端口分析

netstat –antlp | more lsof -i:3306(查看使用指定端口应用程序) 使用netstat –anp(Solaris使用netstat -an)命令查看当前开放的端口。 使用lsof –i 显示进程和端口对应关系。 arp -a:查看arp记录是否正常 

服务分析

Rkhunter

计划任务分析

Crontab

crontab -u root -l:查看root用户的计划任务  cat /etc/crontab  ls -l /etc/cron.*:查看cron文件是变化的详细 ls /var/spool/cron/ 

相关实战文章

【应急响应】redis未授权访问致远程植入挖矿脚本(攻击篇)

【应急响应】redis未授权访问致远程植入挖矿脚本(防御篇)

【应急响应】redis未授权访问致远程植入挖矿脚本(完结篇)

应急响应从懵逼到入门

来源:http://www.safe6.cn/

本文由 safe6 创作,著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

服务器被入侵后的应急响应

本站的所有程序和文章,仅限用于学习和研究目的;不得用于商业或者非法用途,否则,一切后果请用户自负!! 最后编辑时间为: 2019-08-17

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
JAVASEC
  • 本文由 发表于 2021年1月18日18:26:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   服务器被入侵后的应急响应https://cn-sec.com/archives/247502.html

发表评论

匿名网友 填写信息