服务器遭受攻击如何处理(记录排查)

本文的重点是介绍如何鉴别安全事件以及保护现场的方法,以确保服务器负责人能够在第一时间对安全攻击做出反应,并在最短时间内抵御攻击或减少攻击所带来的影响。

在服务器遭遇疑似安全事件时,通常可以从账号、进程、网络和日志四个主要方面进行评估和分析,以判断事件的性质。如果需要联系安全部门来解决问题,保护现场就变得至关重要,以确保能够获取到关键信息,而不受其他杂乱情况的干扰。

一、检查是否存在异常账号和异常登录linux

1、cat /etc/passwd和/etc/group可以看到当前系统中的所有用户和所有的用户组信息,通过查看来发现是否被添加了异常账号;

cat /etc/passwd

如果在上一步中获得了一个异常的用户名"tss",可以使用以下方法对该用户进行详细检查:

1. 查看用户的历史登录信息:使用命令"last tss"来查看该用户的登录历史记录。

2. 查看用户的登录失败信息:使用命令"lastb tss"来查看该用户的登录失败记录。

3. 进入用户的家目录并查看家目录下的账号文件夹:使用命令"cd /home"进入家目录,然后使用命令"ll"来列出该目录下的文件夹,以查看哪些文件夹对应着不同的账号。

2、查看当前登录的用户,ip以及正在执行的命令: w

3、有时候,可以使用命令"ps -ef | grep ssh"来发现伪登录方式;

伪登录方式指的是无法通过"last"命令发现的登录方式。

对于Windows系统:
1. 使用服务器管理器界面操作:打开服务器管理器,选择"配置",然后选择"本地用户和组",在用户选项卡下查看用户列表。

2. 使用命令方式(schtasks):注意,由于编码方式不同,直接输入"schtasks"命令可能会报错,提示无法加载列资源。在这种情况下,需要先查看命令提示符(cmd)的编码方式,使用命令"chcp"来调整编码方式。例如,将编码方式从936(中文编码)改为437(美国编码),然后再运行"schtasks"命令。但是,请注意,这样做可能无法打印出非ASCII字符。

二、检查定时任务Linux通过计划任务来查看是否存在定时任务

对于黑客使用定时任务触发相应程序的情况,可以按照以下方法进行检查:

1. Linux系统:

- 查看计划任务文件:检查/etc/crontab以及目录下的/etc/cron.*文件,包括cron.d/ cron.daily/ cron.hourly/ cron.monthly/ cron.weekly/等。
- 检查启动项:使用命令systemctl list-unit-files --type=service来查看系统服务的启动项。

2. Windows系统:

- 界面操作:打开"开始"菜单,运行"msconfig.exe",在"启动"选项卡下查看启动项。
- 命令方式:使用命令"wmic startup list full"来列出启动项。

三、 检查进程:


1. Linux系统:

使用命令"top"查看正在运行的程序所占用的资源,或者使用命令"ps axu"列出当前系统的进程及其资源情况。

2. Windows系统:

界面操作可以打开任务管理器来查看运行中的进程,或者使用命令"tasklist"来列出进程。

四、 检查系统服务:

- Windows系统:界面操作可以运行"services.msc"来查看系统服务,或者使用命令"sc query"来查询系统服务。

五、 检查网络连接:

1. Linux系统:

检查/etc/hosts和/etc/resolv.conf文件是否有异常更改,使用命令"netstat -a"来查看网络连接情况。

2. Windows系统:

使用命令"netstat -a"来查看网络连接情况。

六、 检查历史记录:

- 通过使用"history"命令来查看系统上执行过的命令。

七. 保护现场:


- 如果条件允许,可以先对服务器进行快照以保存当时的情况,防止系统在短时间内崩溃或被篡改。
- 如果可以断网,建议先断开网络连接,以防止黑客进行进一步攻击。
- 使用安全传输方式(如sftp)将日志文件传输到本地或其他安全的服务器,包括/var/log/下的日志文件,如messages、kern.log、secure、cron等,以及用户文件如/etc/passwd、/etc/shadow、/etc/group等可疑文件和后门文件。
- 如果能确定入侵时间,可以使用"find"命令查找最近时间段内变化的文件,并将这些文件进行打包发送,例如查找5月9日15:08变化的所有python文件:

find / -type f -name "*.py" -newermt "2023-05-09 15:08:00" ! -newermt "2023-05-09 15:09:00" -exec tar -cvzf python_files.tar.gz {} +

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/178154.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

VBA技术资料MF78:产生随机字符串密码

我给VBA的定义:VBA是个人小型自动化处理的有效工具。利用好了,可以大大提高自己的工作效率,而且可以提高数据的准确度。我的教程一共九套,分为初级、中级、高级三大部分。是对VBA的系统讲解,从简单的入门,到…

致远OA wpsAssistServlet接口存在任意文件上传漏洞

致远OA wpsAssistServlet接口存在任意文件上传漏洞 免责声明漏洞描述漏洞影响漏洞危害网络测绘Fofa: app"致远互联-OA" && title"V8.0SP2" 漏洞复现1. 构造poc2. 发送数据包3. 访问webshell地址 免责声明 仅用于技术交流,目的是向相关安全人员展示…

前端基础之BOM和DOM

目录 一、前戏 window对象 window的子对象 navigator对象(了解即可) screen对象(了解即可) history对象(了解即可) location对象 弹出框 计时相关 二、DOM HTML DOM 树 查找标签 直接查找 间…

Open3D 点云旋转的轴角表示法和罗德里格斯公式应用(python详细过程版)

目录 一、算法原理1、轴角表示法2、罗德里格斯公式二、代码实现1、 根据向量计算旋转矩阵2、 使用罗德里格斯公式旋转两个法向量之间的一组点3、 点云变换三、结果展示本文由CSDN点云侠原创,原文链接。如果你不是在点云侠的博客中看到该文章,那么此处便是不要脸的爬虫。 一、…

【腾讯云HAI域探秘】0基础也能开发应用

【腾讯云HAI域探秘】0基础也能开发应用 文章目录 【腾讯云HAI域探秘】0基础也能开发应用前言腾讯云高性能应用服务(HAI)的简介环境搭建启动 高性能应用服务HAI 配置的 ChatGLM2-6B WebUI 进行简单的对话总结 前言 在当今数字化时代,人工智能…

华山编程培训中心——工业相机飞拍

飞拍功能是一种高速运动图像采集技术,通过降低相机的曝光时间来拍摄快速移动的对象,以提高工作效率和加快生产速度。下面视频演示工业相机飞拍: 上位机控制工业相机飞拍演示 一. 飞拍对相机硬件的要求 全局快门相机:飞拍要求相机…

【Gensim概念】03/3 NLP玩转 word2vec

第三部分 对象函数 八 word2vec对象函数 该对象本质上包含单词和嵌入之间的映射。训练后,可以直接使用它以各种方式查询这些嵌入。有关示例,请参阅模块级别文档字符串。 类型 KeyedVectors 1) add_lifecycle_event(event_name, log_level2…

【SpringMVC篇】讲解RESTful相关知识

🎊专栏【SpringMVC】 🍔喜欢的诗句:天行健,君子以自强不息。 🎆音乐分享【如愿】 🎄欢迎并且感谢大家指出小吉的问题🥰 文章目录 🎄REST简介🌺RESTful入门案例⭐案例一⭐…

项目上线前发现严重Bug怎么办?

今天分享一个面试问题,现在有一个面试场景: 项目计划明天发布,但是在今天你作为测试人员发现了一个严重的bug,市场相关人员又在催发布的事情,这个时候你应该怎么办? 这是测试工程师不管是在面试&#xff0…

Vue 事件绑定 和 修饰符

目录 一、事件绑定 1.简介 : 2.实例 : 二、修饰符 1.简介 : 2.实例 : 3.扩展 : 一、事件绑定 1.简介 : (1) 在Vue中,通过"v-on:事件名"可以绑定事件,eg : v-on:click表示绑定点击事件。 (2) 触发事件时调用的方法,定义在Vu…

RT-Thread系统使用常见问题处理记录

1.使用telnet连接系统时发送help指令显示不全的问题。 原因:telnet发送缓存太小。 解决办法:更改agile_telnet软件包里Set agile_telnet tx buffer size的大小。 2.使用Paho MQTT软件包过一段时间报错hard fault on thread: mqtt0 解决办法&#xff1…

UE5——网络——属性复制

当属性被注册进行复制后,您将无法再取消注册(涉及到生存期这一话题)。之所以会这样,是因为我们要预制尽可能多的信息,以便针对同一组属性将某一工作分担给多个连接。这样可以节省大量的计算时间。 virtual void GetLif…

Python-文件操作

目录 一、文件的打开与关闭 1、文件的打开 2、文件模式 3、文件的关闭 二、文件的读写 1、写文件 2、读文件 3、文件的定位读写 三、文件的重命名和删除 1、文件的重命名 2、文件的删除 四、文件夹的相关操作 1、创建文件夹 2、获取当前目录 3、改变默认目录 4、…

深入理解udp

1.再谈端口号 1.1复习 我们上一篇谈了很久的应用层的http,并在此前我们使用socket编程写了一个能相互通信的客户端与服务端,但是我们也只是粗略的理解了一下tcp和udp在编程过程中所形成的差异性,并没有实质去了解一下其详细内容,…

若依笔记(四):代码生成器

已知使用MyBatisPlus代码生成器可以自动生成Entity、Mapper、Service、Controller代码,前提是数据库中有数据表,生成pojo类以及对于该数据表的增删改查命令的代码,若依更进一步能选择表后生成代码、预览、下载,同时可以生产前端代…

指挥通信车360度3d虚拟互动展示系统的优势及特点

通信车是装有通信装备,用于保障通信联络的专用车辆,用于偏僻/特殊环境下的机动通信。并且机动通信局装备通常分为应急综合通信车、网络管理车、程控电话车、自适应跳频电台车、数字扩频接力车、散射通信车、卫星通信车、光缆引接车、线缆收放车和通信电源…

[idea]关于idea开发乱码的配置

在JAVA开发中,一般统一设置为UTF-8的编码,包括但不限于开发工具、日志架构、虚拟机、文件编码等。常见配置如下: 1、IDEA工具 在idea64.exe.vmoptions、idea.exe.vmoptions中添加: -Dfile.encodingUTF-8 2、JAVA 运行在window…

用前端框架Bootstrap的AdminLTE模板和Django实现后台首页的页面

承接博文 用前端框架Bootstrap和Django实现用户注册页面 继续开发实现 后台首页的页面。 01-下载 AdminLTE-3.1.0-rc 并解压缩 以下需要的四个文件夹及里面的文件百度网盘下载链接: https://pan.baidu.com/s/1QYpjOfSBJPmjmVuFZdSgFQ?pwdo9ta 下载 AdminLTE-3.1…

2 关系型数据库是如何工作的

很多人在学习数据库知识的时候,知识点都是比较分散的,本章旨在将数据库知识进行整合串联,使之可以达到知其所以然的地步。 从数据结构说起 (1)时间复杂度 对于数据库本身而言,重要不仅仅是数据量,而是在数据量增长之…

关键词搜索亚马逊商品数据接口(标题|主图|SKU|价格|优惠价|掌柜昵称|店铺链接|店铺所在地)

亚马逊提供了API接口来获取商品数据。其中,关键词搜索亚马逊商品接口(item_search-按关键字搜索亚马逊商品接口)可以用于获取按关键字搜索到的商品数据。 通过该接口,您可以使用API Key和API Secret来认证身份,并使用…