服务器安全巡检

Doctor xu

已于 2023-06-30 17:38:25 修改

阅读量997

点赞数 1

分类专栏： Linux 文章标签： linux 系统安全 windows 安全网络安全

于 2023-06-30 17:34:29 首次发布

本文链接：https://blog.csdn.net/doctorxusong/article/details/131480779

版权

Linux 专栏收录该内容

7 篇文章 1 订阅

订阅专栏

服务器作为承载业务和数据的主体，是企业的重要资产。在网络安全中，服务器的安全一直被认为是整个信息安全领域的最后一道防线，影响因素含单位管理制度不健全、人员运维不规范、操作系统及软件的漏洞无法修复或未及时修复、配置策略宽松等等。在日常使用及重点保障时期，服务器都需要进行安全巡检，以下是针对服务器安全层面的巡检项，实际安全巡检工作还应根据网络架构，结合网络设备、安全设备进行全方位巡检。

一、文件排查：是否存在攻击者留下的异常文件、关键系统文件，以此判断业务主机是否被入侵！
       Windows
           运行msconfig-任务管理器-查看自启动项是否正常，或右击任务栏也可查看
           进C:\Windwos\查看Temp或tmp目录是否存在异常文件，重点查看.exe
           我的电脑打开最近文件夹，检查近期修改的文件是否有未知异常文件
       Linux
           查看/tmp、/usr/bin、/usr/sbin是否存在异常文件，重点看可执行脚本如.sh
           开启启动项是否异常：ls -alt /etc/init.d/
           进入特定目录-按最近时间排序-确认文件是否恶意改动，
               先进入目录/bin、/sbin、/usr/bin、/usr/sbin
               ls -alt | head -n 10
           查看用户历史命令是否正常：cat /root/.bash_history
           是否存在非法用户（异常用户一般nologin结尾，为不可登录用户）
               cat /etc/passwd
二、进程排查：是否存在异常进程，以此判断是否植入木马、后门！
       Windows
           查看是否有异常连接端口，PID，系统自带网络连接分析工具 netstat
               netstat -ano
           根据PID看进程，得出详细进程名称
               tasklist | findstr 3816
           根据进程名称差看进程所在全路径
               wmic process | findstr WeChat.exe
       Linux
           top命令实时查看是否有异常进程占用大量CPU、内存
               CPU实际使用率=显示使用率/核数
           确认是否存在可疑的监听端口
               netstat -antlp | more
           如果前面两个步骤发现异常程序，可根据PID查看详情
               ps -aux | grep 16688
三、系统信息排查：环境变量、定时任务，以此判断攻击者是否添加变量及任务！
       Windows
           我的电脑-属性-高级系统设置-高级-环境变量
               查看Temp或tmp值是否为C:\Windows\Temp
               用户变量“Path”是否添加了非法路径
           计算机管理-系统工具-任务计划程序
               是否存在非用户自己创建的任务计划程序
           计算机管理-本地用户和组是否存在异常账户、隐藏账户（以$结尾）
           查看用户登录情况（建议日常使用结束后注销账户，否则不好判断）
               query user
       Linux
           确认定时任务是否正常
               crontab -l
           开机自动执行的rc.local文件是否正常（是否含异常任务）
               cat /etc/rc.local
           所有用户最近一次登录系统时间
               lastlog
           查看环境变量，是否存在非法路径、风险路径
               echo $PATH
   日志分析：分析是否登录或攻击痕迹，同时用于溯源和取证；还可用于信息记录、故障定位、故障分析、攻击溯源！
       日志类型
           安全设备：源IP、攻击特征、是否拦截
           操作系统：系统整体信息、用户登录/授权信息、安全事件信息
           业务系统：业务日志记录访问者IP、请求类型、请求时间
       日志格式
           syslog
               格式：Jan XX XXXX 22:11:45 SC4-S36 %%02 IFNET/6/IF_ENABLE()[43]:
               Interface XGigabitEthernet2/0/0/8 has been down.
           Windows
               计算机管理-事件查看器：系统、安全、设置、应用
               格式：日志名称、日志来源、事件ID、级别、用户、记录时间
           Linux
               /var/log/messages
                   记录系统整体的信息
               /var/log/auth.log
                   记录系统授权信息，包括用户登录和使用的权限机制
                   是否存非运维人员的授权信息
               /var/log/userlog
                   记录所有等级用户信息的相关日志
               /var/log/cron
                   记录crontab命令执行情况的相关日志
                   是否存在异常定时执行程序
               /var/log/vsftpd.log
                   记录Linux FTP应用的相关日志
               /var/log/lastlog
                   记录用户最近一次登录的日志信息，可以使用命令lastlog查看
               /var/log/secure
                   记录大多数应用输入的账号与密码，以及登录成功与否的相关日志，
                   是否存在暴力破解，是否成功
               /var/log/wtmpat/var/log/utmp
                   记录成功登录系统的账户信息
               /var/log/faillog
                   记录未成功登录系统的账号信息
               格式：Jun XXX XXXX 22:22:22 SICO-NHE sudo[263489]: omm : TTY=unknown ; PWD=/opt/data/Bigdata/server 4.0.0.1/0MS/workspace0/ha/module/harm/plugin/script ; USER=nginx ;COMMAND=/var/lib/sudo/Bigdata/sudo/runtime/sudoExecutesh m arping bond0 192.168.1.33