本文主要介绍linux服务器安全事件应急响应排除方法的概述。阐述了分析原则、分析目标、数据备份与收集、分析方法、分析与影响、强化方法等内容。
Linux是最常用的操作系统的服务器操作系统,因为它具有高性能、高扩展性、高安全性,受到越来越多的运营商所追求的。但也有Linux服务器操作系统的许多安全事件。主要攻击弱口令攻击、远程溢出攻击和其他应用程序漏洞攻击。我的VPS遭遇恶意使用其他主机的SSH弱口令的安全问题,前几天扫描。以下是我对这次攻击的攻击,结合Linux安全事件的分析和处理方法,总结了Linux安全急救反应过程的分析方法。
一、分析原理
1。重要数据先备份再分析,尽量不在原系统中进行分析;
2。被入侵的系统不再安全。如果条件允许,最好使用第三方系统进行分析。
两。分析的目标
1。查找攻击源IP
2。找到入侵的途径
三.影响范围分析
4。量化影响水平
三。数据的备份集
1。跟踪数据始终是分析安全事件的最重要数据。
在分析过程中,跟踪数据一直是最重要的数据,所以首先要备份相关的跟踪数据,跟踪数据主要包括以下几点:
1。系统日志消息,安全,cron,邮件和其他系统日志;
2。应用程序日志:日志,nginx日志、FTP日志,数据库日志等;
三.自定义日志:许多程序将在开发过程中定制程序日志。这些日志也是重要的数据,可以帮助我们分析有关入侵路径的信息。
4.bash_history:这是记录在bash执行bash的日志信息,可以帮助我们看到什么命令bash执行。
5。其他与安全事件相关的日志记录
在分析这些日志时,我们必须首先备份。我们可以通过TAR进行压缩和备份,然后进行分析。如果我们遇到大的日志,我们可以用海量日志分析工具如Splunk的帮助做分析。以下是VAR /日志路径下的所有文件的完整备份命令,和其他日志可以参照这个命令:
复制代码代码如下所示:
#系统日志备份默认httpd服务日志
焦油cxvf logs.tar.gz /无功/的HTML
最后#备份
> last.log
在这个时候#在线用户
W > w.log
2。系统状态
系统状态主要是网络、服务、端口、进程等状态信息的备份。
复制代码代码如下所示:
#备份服务系统
services.log chkconfig --列表>
#备份过程
PS ps.log EF >
#监听端口的备份
回答utnpl > port-listen.log
在#系统所有端口
netstat ANO > port-all.log
三.查看系统,文件异常
主要用于文件的更改时间,属于主要的信息问题组,新用户等问题,其他可以类似:
复制代码代码如下所示:
#查看用户信息:
猫 / /密码等
#查找最近修改过的文件5天内
发现- F型-时间- 5
4。最后,扫描Rootkit
Rootkit Hunter和chkrootkit可以
四,分析方法
大胆猜测是最重要的事情。猜测入侵的方法,然后分析它通常是最好的两倍。
在一般情况下,日志分析可以发现很多东西,,安全日志可以查看接受关键词;最后可以查看登录信息;bash_history可以查看命令的信息,不同的记录,有不同的观点,最好是伴随着系统管理员逐渐受到调查,因为系统管理员了解他的服务器系统的事。不要做太多的在这里。
五。影响分析
根据服务器的使用情况、文件内容和秘密情况,结合数据泄露和丢失风险,量化系统用户的影响,并记录相关安全事件,进行总结分析,以便总结。
如果进行内部网络,必须及时检查内网机的安全风险,及时处理。
六、加固方法
被入侵的机器可以被标记为危险,最直接和最有效的方法是重新加载系统或恢复系统,因此定期备份操作是必不可少的,尤其是源和数据库数据。
通过对入侵方法的分析,可以进一步加强弱口令和应用漏洞等加固。