应急响应:Linux 入侵排查思路.

什么是应急响应.

一个组织为了 应对 各种网络安全 意外事件 的发生 所做的准备 以及在 事件发生后 所采取的措施 。说白了就是别人攻击你了,你怎么把这个攻击还原,看看别人是怎么攻击的,然后你如何去处理,这就是应急响应。


目录:

什么是应急响应.

应急响应工作流程:

常见的应急响应分类:

Linux 入侵排查思路:

(1)排查 系统日志.

 (2)网络连接.(排查 异常的连接.)

(3)排查 资源占用.(挖矿,木马)

(4)排查 开机启动项.

(5)排查 定时任务.

(6)排查 环境变量配置文件.

(7)排查 SSH后门.(排查 可疑账号)

(8)善用 威胁情报.


应急响应工作流程:


常见的应急响应分类:


Linux 入侵排查思路:

(1)排查 系统日志.

日志文件是记录I系统运行信息的文件,Linux系统内记载很多不同类型的日志.

查看登录信息.

lastlog


cd /var/log/         # 进入日志文件.

统计失败的次数.

sudo grep "Failed password" auth.log | wc -l        # 统计失败的次数或者sudo grep "Failed password" secure | wc -l

攻击次数排列,由高到低.

awk '{if($6=="Failed"&&$7=="password"){if($9=="invalid"){ips[$13]++;users[$11]++}else{users[$9]++;ips[$11]++}}}END{for(ip in ips){print ip, ips[ip]}}' auth.* | sort -k2 -rn | head

其他的日志排查可以查看:https://segmentfault.com/a/1190000021752790


 (2)网络连接.(排查 异常的连接.)

sudo netstat -antup            # 查看所以的网络连接


(3)排查 资源占用.(挖矿,木马)

进程是 Linux 当前正在处理的任务,当运行某个软件时将为其创建一个进程.

排查话术:CPU是否远超平时居高不下,如果是的话那么可能被植入了挖矿病毒
sudo ps -efcaux   # 查看所有进程(挖矿看 CPU 占多少.)


看着 进程 文件位置.

sudo lsof -p 1778                # 查找 PID 的文件位置sudo lsof -p PID


查找绝对 文件 路径.

sudo ls -al /proc/1778/exesudo ls -al /proc/进程PID数/exe



关闭进程.

sudo kill -9 43        sudo kill -9 进程号


列出 CPU 的占用顺序(从高到低.)

top            


再根据 CPU 高的查看这个文件的位置.

ps -ef|grep Xorgps -ef|grep 文件名


排查 前10的内存.

ps -aux | sort -k4nr|head -10


排查 网络宽带 .

排查话术:网络流量上下行有异常吗?有异常的话是哪个IP?

sudo apt-get install iftop    # 安装这个命令 查看
ip addr        # 查看所以网卡.(问问运维那个网卡是业务网卡)
sudo iftop -i eth0 -Psudo iftop -i 业务网卡 -P


(4)排查 开机启动项.

ls -alt /etc/init.d

这个目录下面放了可执行脚本或文件,不认识的文件 和 运维 确认一下,看看是不是木马.


这个下面放的全是开机启动的服务.(排查的时候看看时间是不是在病毒发生的时候)

ls -alt rc            # 点击 Tab. 


列出 开机启动项 服务.(所有被设置为开机自启动文件)

systemctl list-unit-files | grep enabledenabled  # 开启的服务


如果发现恶意服务,使用下面命令 关停 或者 删除.

sudo systemctl stop e2scrub_all.timer            # 停止服务 sudo systemctl stop 服务名


sudo systemctl disable e2scrub_all.timer    # 删除这个服务.sudo systemctl disable 服务名.


关错了,避免尴尬也可以偷偷 启动 或者 添加 服务.

sudo systemctl start e2scrub_all.timer        # 启动服务.sudo systemctl start 服务名


sudo systemctl enable e2scrub_all.timer        # 添加和启动服务.sudo systemctl enable 服务名


(5)排查 定时任务.

定时定点执行Linux程序或脚本.

crontab -e            # 用来创建定时任务.


定时保存的路径有以下几个.

vi /var/spool/cron/        # 目录里的任务以用户命名.


vi /etc/crontab             # 调度管理维护任务.(排查里面有没有新的添加)


vi /etc/cron.d/    # 这个目录用来存放任何要执行的crontab文件或脚本(排查有没有新的添加文件 再和运维核对 进行排查)


vi /etc/cron.hourly            # 每小时执行一次vi /etc/cron.daily             # 每天执行一次vi /etc/cron.weekly            # 每周执行一次vi /etc/cron.monthly           # 每月执行一次

(6)排查 环境变量配置文件.

这些文件用于设置系环境变量或启动程序,每次Linux登入或切换用户都会触发这些文件.

vi /etc/bash.bashrc            # 排查环境变量配置文件.


vi .bash_logout            # 这个文件系统默认里面有.(退出用户的时候也会执行)


vi /etc/profile                # 排查这个文件中是否有执行的木马


vi .profile            # 排查这个文件中是否有执行的木马


(7)排查 SSH后门.(排查 可疑账号)

SSH 是一种加密的网络传输协议,通常利用SSH来传输企令行界面和远程执行命.

users                  # 查看账户.(排查有没有不认识的账户)cat /etc/passwd        # 查看所以账户.(排查有没有不认识的账户)

下面命令的后缀解析:/bin/bash              # 账户可登录,登录后使用/bin/bash解释执行脚本
/bin/sh                # 账户可登录,登录后使用/bin/bash解释执行脚本/bin/false             # 不可登录,不会有任何提示./usr/sbin/nologin      # 不可登录,拒绝用户登录.


密钥篡改:(这个文件是用来存储公钥的,然后我们再使用私钥来登录就行)

cat authorized_keys    (排查文件有没有多的公钥,就是多出来一条数据.)

重装覆盖:(就是把 SSH 重装一遍,安装一个有后门的.)

ls -lt /usr/bin/ssh /usr/sbin/sshd        # 查看文件时间是不是新的.但是时间可能也被修改.


ssh -V        # 查看版本.(是不是我们之前安装的版本)


(8)善用 威胁情报.

威胁情报是识别和分析网络威胁的过程。威胁情报平台可以查出一些域名和IP地址得 信誉 度,一旦发现它们存在网络攻击痕迹迅速封禁.

https://x.threatbook.com/                # 微步在线https://www.virustotal.com/gui/          # VirusTotal(上传文件,检查木马)https://ti.360.net/#/homepage            # 360威胁平台https://ti.nsfocus.com/                  # 绿盟威胁情报平台https://ti.dbappsecurity.com.cn/         # 安恒威胁情报平台

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/401096.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Python OpenCV 影像处理:边缘检测

►前言 上篇介绍使用OpenCV Python findContours() 函数用于在二值化影像中寻找连通的白色区域,并返回一系列点的集合来表示找到的轮廓。本篇将介绍基于计算影像的梯度,通过在影像中找到梯度值的变化来识别边缘,边缘检测通常用于预处理步骤&…

【区块链+食品安全】湖南省食品行业联合会:溯链中国—基于区块链的食品安全可信追溯平台 | FISCO BCOS应用案例

食品安全追溯体系的建设,能够切实加强食品安全监管,确保人民群众饮食安全和身体健康,是创建食品安全城市必不可少的一部分。然而,中心化存储、信息孤岛、窜货是传统溯源行业最大痛点。区块链技术的快速发展, 使得防伪溯…

文案二创app下载,为你轻松生成原创文案

在当今数字化的时代,各种应用软件如雨后春笋般涌现,为我们的生活和工作带来了极大的便利。而其中,有一款特别的短剧文案二创app,它以其独特的功能和优势,为文案创作者们打开了一扇全新的大门,让生成原创文案…

电子电气架构 --- 智能驾驶域控制器供应商简介

我是穿拖鞋的汉子,魔都中坚持长期主义的汽车电子工程师。 老规矩,分享一段喜欢的文字,避免自己成为高知识低文化的工程师: 屏蔽力是信息过载时代一个人的特殊竞争力,任何消耗你的人和事,多看一眼都是你的不…

Redis7.0.15 主从复制、哨兵模式搭建

主从复制:master以写为主,slave以读为主,当master数据变化的时候,自动将新的数据异步同步到其他的slave数据库 1. Redis复制介绍: https://redis.io/docs/latest/operate/oss_and_stack/management/replication/ 读写…

【秋招笔试】8.11大疆秋招(第二套)-测开岗

🍭 大家好这里是 春秋招笔试突围,一起备战大厂笔试 💻 ACM金牌团队🏅️ | 多次AK大厂笔试 | 编程一对一辅导 ✨ 本系列打算持续跟新 春秋招笔试题 👏 感谢大家的订阅➕ 和 喜欢💗 和 手里的小花花🌸 ✨ 笔试合集传送们 -> 🧷春秋招笔试合集 🍒 本专栏已收…

Python基于TensorFlow实现卷积神经网络-双向长短时记忆循环神经网络分类模型(CNN-BiLSTM分类算法)项目实战

说明:这是一个机器学习实战项目(附带数据代码文档视频讲解),如需数据代码文档视频讲解可以直接到文章最后获取。 1.项目背景 随着人工智能技术的快速发展,深度学习已经成为处理复杂数据集的关键工具之一。其中&#x…

【48 Pandas+Pyecharts | 2024年巴黎奥运会奖牌数据分析可视化】

PandasPyecharts | 2024年巴黎奥运会奖牌数据分析可视化 文章目录 🏳️‍🌈 1. 导入模块🏳️‍🌈 2. Pandas数据处理2.1 读取数据2.2 处理奖牌数据2.3 统计各参数国家/地区奖牌数据 🏳️‍🌈 3. Pyecharts数…

MQ的介绍

一、MQ简介 MQ全称Message Queue(消息队列),是在消息的传输过程中保存消息的容器。多用于分布式系统之间进行通信,主要功能业务解耦 二、常见的MQ产品 RabbitMQ、RocketMQ、Kafka、ActiveMQ 三、为什么要用MQ? 3.1、异步处理 应用场景…

苍穹外卖-知识点

搭建环境 前端 使用nginx(文件路径带中文 会启动不成功) 后端

嵌入式软件开发学习一:软件安装(保姆级教程)

资源下载: 江协科技提供: 资料下载 一、安装Keil5 MDK 1、双击.EXE文件,开始安装 2、 3、 4、此处尽量不要安装在C盘,安装路径选择纯英文,防止后续开发报错 5、 6、 7、弹出来的窗口全部关闭,进入下一步&a…

C++简单界面设计

#include "mywidget.h"MyWidget::MyWidget(QWidget *parent): QWidget(parent) {---------------------窗口设置----------------------this->setWindowTitle("南城贤子摄影工作室");//设置窗口标题this->setWindowIcon(QIcon("d:\\Pictures\\C…

ES JavaApi

1.RestClient操作索引库 2.RestClient操作文档 2.1查询 2.2更新 2.3删除 2.4批量新增(bulk) 3.DSL查询 对应的api 3.0解析响应 3.1全文检索 3.2精确查询 3.3复合查询-boolQuery 构建boolQuery 3.4排序和分页 3.5高亮

thinkphp漏洞之sql注入漏洞-builder处漏洞

目录 适用版本 环境搭建 文件下载安装 配置文件修改 漏洞分析 适用版本 注&#xff1a;thinkphp版本&#xff1a;5.0.13<ThinkPHP<5.0.15 、 5.1.0<ThinkPHP<5.1.5 环境搭建 文件下载安装 在github上面下载相应版本&#xff0c;下载think文件&#xff0c;…

暑期破防实录——捡漏腾讯

序 经历了整整三个月的折磨&#xff0c;暑期实习终于尘埃落定。 其实还没收到 offer 的时候&#xff0c;还会想着到时候录用了该怎么大写特写小作文&#xff0c;但真到了这一天&#xff0c;只剩下一种解脱感&#xff0c;一种摆脱了漫长的焦虑与压抑的淡淡喜悦。 或许就像久病…

Lab 1 实验 MapReduce

&#x1f442; 若月亮没来 (若是月亮还没来)&#xff08;若是月亮还没来&#xff09; - 王宇宙Leto/乔浚丞 - 单曲 - 网易云音乐 目录 &#x1f33c;参考代码 &#x1f419;解析 &#x1f41f;mrsequential.go &#x1f41f;mrapps/wc.go &#x1f4d5;实验--准备 &…

维基知识库系统Wiki.js本地Linux环境部署并配置公网地址远程访问

&#x1f49d;&#x1f49d;&#x1f49d;欢迎来到我的博客&#xff0c;很高兴能够在这里和您见面&#xff01;希望您在这里可以感受到一份轻松愉快的氛围&#xff0c;不仅可以获得有趣的内容和知识&#xff0c;也可以畅所欲言、分享您的想法和见解。 推荐:kwan 的首页,持续学…

Web3与医疗健康:去中心化技术在医疗行业的应用前景

随着区块链技术和去中心化理念的兴起&#xff0c;Web3作为新一代互联网技术正逐渐影响各个行业。在医疗健康领域&#xff0c;Web3技术的应用前景引起了广泛关注。本文将探讨Web3如何通过去中心化技术提升医疗健康行业的效率、透明度和安全性&#xff0c;并分析其在实际应用中的…

无线领夹麦克风哪个品牌音质最好?领夹麦克风十大品牌推荐

在当下自媒体盛行的时代&#xff0c;无线领夹麦克风无疑是每位创作者追求高质量音频的必备工具。它不仅解放了双手&#xff0c;让拍摄更加自由灵活&#xff0c;更以其出色的音质表现&#xff0c;成为直播、Vlog制作中的关键角色。面对市场上琳琅满目的品牌与型号&#xff0c;许…

鸿蒙「TaskPool|Worker」多线程并发使用详解,这一篇足够!

概念介绍 鸿蒙的多线程并发TaskPool和Worker&#xff0c;他们具有相同内存模型&#xff0c;线程间隔离内存不共享。在项目中若使用到&#xff0c;有几个较重要的条件或特点这里简单作出列举。 CPU密集型任务&#xff0c;说白了是计算型耗时任务&#xff1b; I/O密集型任务&…