【网络安全】网络攻击排查思路、网络攻防、防守方

最新推荐文章于 2024-11-01 15:49:15 发布
最新推荐文章于 2024-11-01 15:49:15 发布
阅读量851 收藏 3
点赞数 1
分类专栏: 网络安全 文章标签: web安全 网络 java nginx 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iampatrick_star/article/details/131561565
版权
本文介绍了如何排查Linux系统中的网络攻击,包括检查主机操作系统异常日志、监控SSH登录尝试、分析中间件和数据库异常、以及识别并封禁恶意IP。通过命令行工具如netstat、auth.log和nginx访问日志,可以识别潜在的安全威胁,并采取相应措施加强系统防护。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

【网络安全】网络攻击排查思路、网络攻防、防守方

一、排查过程:

1、主机操作系统异常日志情况
# 该命令用于显示系统的用户账户信息。/etc/passwd 文件包含了系统上所有用户的基本信息,如用户名、用户ID、家目录、默认shell等
cat /etc/passwd

# 该命令用于显示系统的定时任务(Cron Job)信息。/etc/crontab 文件包含了系统预定的定时任务列表,可以查看定时任务的安排和执行时间。
cat /etc/crontab

# 该命令用于显示系统的网络连接和网络统计信息。netstat 是一个网络工具,-a 参数表示显示所有连接,-p 参数表示显示进程标识符,-n 参数表示以数字格式显示地址和端口号,-l 参数表示显示监听状态的连接,-t 参数表示只显示 TCP 连接。
netstat -apnlt

# 该命令用于显示系统的认证日志信息。/var/log/auth.log 文件记录了与系统认证(如登录、sudo 使用等)相关的日志信息,可以用于检查安全问题和用户活动。
cat /var/log/auth.log

# 该命令用于显示当前登录到系统的用户信息,包括用户名、登录时间、来自哪个终端等。
who

# 该命令用于显示当前用户在终端中执行过的命令历史记录。它会列出之前执行过的命令,帮助用户回顾和重复执行之前的操作。
history
1.1 查看尝试登录到linux主机但失败的情况

显示了一系列来自不同IP地址的SSH连接尝试未能接收到身份验证字符串的记录。这可能表明您的Ubuntu Linux服务器受到了暴力破解或恶意扫描的攻击。

tail -5000f /var/log/auth.log | grep 'Did not receive'

这些日志表明有人尝试通过SSH协议进行连接,但是由于协议版本不匹配,导致连接失败。还有一些恶意操作尝试使用HTTP协议发送了不正确的请求。

tail -5000f /var/log/auth.log | grep 'Bad'
2、中间件异常日志情况
ps -ef|grep nginx
3、数据库异常日志情况(postgresql)(在数据库连接工具执行)
SELECT * FROM pg_stat_activity t;
4、数据接口运行情况

按照运行的程序区分

ps -ef | grep java

二、问题排查思路

1、查看linux系统登录情况

执行命令:

cat /var/log/auth.log

往上翻翻看有没有什么异常的 ip 登录的情况

也可以对 /var/log/auth.log 进行筛选,您可以使用 grep 命令结合一些特定的筛选条件。以下是几个示例:

  1. 筛选包含特定关键字的日志条目:
    cat /var/log/auth.log | grep "Failed password"

    上述命令将返回包含 “Failed password” 关键字的所有日志条目。

  2. 筛选某个时间范围内的日志条目:
    cat /var/log/auth.log | grep "Jun 27 10:"

    上述命令将返回在6月27日10点整的所有日志条目。

  3. 筛选特定用户的认证活动:
    cat /var/log/auth.log | grep "john"

    上述命令将返回与用户 “john” 相关的所有日志条目。

  4. 筛选失败的 SSH 登录尝试:
    cat /var/log/auth.log | grep "sshd.*Failed password"

    上述命令将返回所有包含 “sshd” 和 “Failed password” 的日志条目,用于筛选失败的 SSH 登录尝试。

2、发现异常登录情况

筛选出异常登录情况的ip 到 https://x.threatbook.com/v5/ip/119.123.73.137?source=top&isRange=true 这个网站看看对应的 ip 是否恶意 ip,如果是的话大概率是被攻击了。可以写个 防守报告。

3、排查nginx异常情况

通过命令:

tail -1000f  /var/log/nginx/access.log
  1. 查看一下是否有某几个ip(https://ip.cn/看看当前ip,可以排除)(https://x.threatbook.com/v5/ip/119.123.73.137?source=top&isRange=true 查查相应的ip是否被标记为恶意)一直在频繁的服务服务器。
  2. 查看并且都是返回 404、403.、4xx 的请求,(如果是java 前后的分离的项目,但访问的都是php、jsp等明显在进行漏洞扫描的访问)并且请求是否都是涉及暴力破解,注入破解等的漏洞破解请求

如果是的话,可以登录到路由器封禁对应的ip地址。

4、ip封禁

提供一下三种方式。

  1. 使用 linux 防火墙或者封禁ip的访问

  2. 使用 nginx 封禁对应ip的访问

  3. 使用硬件防火墙封禁对应的ip

网络基础】第01章 黑客攻防常用命令
Seven Yang
12-14 1169
本文是根据【千峰教育】网络安全工程师(共312集培训班全套)视频,整理所得的学习笔记。
遭遇疑似网络攻击时服务器异常情况排查
shuyan1115的博客
06-21 2365
法主要用于发生网信安全异常情况时的异常设备信息提取和登机排查指导,主要包括主机类设备,linux和windows操作系统为主。
网络安全-应急响应之入侵排查篇及相关工具
GitHub质检员
11-22 1266
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决案与防范措施,为企业挽回或减少经济损失。常见的应急响应事件分类:Web 入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗针对常见的攻击事件,结合工作中应急响应事件分析和解决的法,总结了一些 Windows 服务器入侵排查思路
安全事件分析思路及逻辑
qq_45099208的博客
06-15 2284
态势感知,WAF,防火墙,EDR,蜜罐等​ 防火墙:访问控制类产品,网络出现后的第一类安全产品​ 隔离内网、外网以及DMZ区并控制用户访问(DMZ:业务系统对外发布区,Web应用服务器,邮件服务器等)​ 通常工作在网络层,部署在网络边界或者重要系统边界​ IPS:入侵防御系统,访问控制类产品​ 发现攻击后,能够及时拦截阻断 对流经设备的网络流量进行分析、监控​ 由防火墙的地就有IPS,通常串接在网络主干链路上,或者重要业务系统边界。
网络安全攻防演练防守案.docx
06-09
网络安全攻防演练是一种模拟实战环境下的安全测试活动,旨在评估并提升防守网络安全防护能力和应急响应机制。本文档详细阐述了防守案,涵盖了从演练背景、组织分工到具体执行步骤等多个面。 首先,攻防...
重庆网络广播电视台网络安全攻防实战演习总结.pdf
09-19
网络安全攻防实战演习是指在一个安全的模拟环境中,通过模拟网络攻击防守的实战场景,进行网络攻防技术的实践检验和应用,以此提高网络安全防护水平和应对网络威胁的能力。重庆网络广播电视台在“护网2020”攻防...
56篇网络安全技战法,HW期间专用哦
08-16
56篇网络安全技战法,HW期间专用哦 技战法0Day漏洞逆向利用线下社工防护自动化封禁IP 技战法-利用反控木马精准诱捕 技战法-基于办公OA系统的社会工程学防护技战法 HW下的邮件攻防场景技战法 基于欺骗与应急场景构建...
网络安全防御体系建设-防守实例
2401_84240189的博客
04-27 1015
本案例中红队为某集团公司,下辖多个二级企业,网络环境庞大 且复杂,可利用的攻击点众多,主要体现在:集团网络和所有二级企 业、外部业务单位互联互通;各二级企业具有各自的互联网出口,且 出口部署有向外部提供服务的应用系统;各级单位还迁移了大量系统 至集团公有云上,防护点分散且复杂。经过研究,集团决定采取分级防护策略,确认本次演练的防护核 心为集团的目标系统,一级防护系统为集团公有云、关基系统和工控 系统,二级防护为下级企业重点系统和互联网暴露系统,三级防护为 其他一般系统。
网络安全防御体系构建思路
hackzkaq的博客
11-06 719
在某一天的深夜,作为安全从业人员,穿着大裤衩子,坐在门前,点燃一根烟(画面自己想象)开始思考企业如何打造自己的安全体系,虽然这不是作为月薪3k该考虑的问题,但是毕竟当初笔者的从业理想是想成为道哥一样的人,为安全行业贡献自己的一份力。于是写下自己的想法,对于中小企业我希望能够完善自己的安全体系,花最少的钱做好安全这件事;对于安全人员我希望大家多考虑企业面临的危险点,而不只是会开一个扫描器做一个定时任务、开一个dirsearch就睡觉的那种!
一文了解:常见攻击类型及排查处理
weixin_46973785的博客
06-07 611
服务器安全至关重要,给大家列举了几种常见攻击类型及排查处理式。肉鸡就是被黑客攻击和入侵,在电脑里面放入了病毒和木马之类的后门程序,拥有管理权限的远程电脑,受入侵者控制的远程电脑。被肉鸡或ARP攻击处理建议:1.从系统级检查(1)经常检查系统内用户情况,是否发现有可疑账号,检查administrators组里是否增加了未知账号。(2)检查自己网站目录权限,尽量减少无关用户的权限。(3)Windows主机的客户每月都要打系统补丁,每月的15日左右微软会发布补丁,请及时打补丁。(4)建议关闭不需要的服务。...
通过Nginx日志--检测异常访问ip进行封禁
小啊宇的博客
04-13 1429
Nginx日志格式 log_format json '{"@timestamp":"$time_iso8601",' '"clientip":"$remote_addr",' '"request":"$request",' '"http_user_agent":"$http_user_agent",' '"size":"$body_bytes
在 Ubuntu 中常用网络安全命令
2302_77270563的博客
04-05 1416
在 Ubuntu 中,网络安全命令
判断是否被攻击:查看最近尝试用ssh登录ubuntu的ip
原来也有北瓜
11-24 468
查看成功登录的ip记录。查看登录失败的ip记录。
渗透测试之操作系统识别
Louisnie
08-28 8272
利用TTL起始值判断操作系统,不同类型的操作系统都有默认的TTL值(简陋扫描,仅作参考) TTL起始值:Windows xp(及在此版本之前的windows) 128 (广域网中TTL为65-128) Linux/Unix64(广域网中TTL为1-64) 某些Unix:255 网关:255 使用nmap识别操作系统:nmap -O 192.168.45.129 #参数-O表示扫描操作系...
20222823 2022-2023-2 《网络攻防实践》实验六
m0_73785345的博客
04-16 726
1、实践内容(1)动手实践Metasploit windows attacker任务:使用metasploit软件进行windows远程渗透统计实验具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权(2)取证分析实践:解码一次成功的NT系统破解攻击。
【博客566】Linux内核系统日志查看式汇总
qq_43684922的博客
12-24 4971
1、系统启动后的信息和错误日志:2、守护进程启动和停止相关的日志消息3、系统异常日志4、内核缓冲区日志信息5、Linux系统安全日志,记录用户和工作组变坏情况、用户登陆认证情况7、记录定时任务的日志8、记录Linux登陆失败的用户、时间以及远程IP地址以及记录最后一次用户成功登陆的信息
玄机-第一章 应急响应-Linux日志分析
本散修的一些学习心得与笔记,道友请自便。
07-15 1089
玄机-第一章 应急响应-Linux日志分析 简介 账号root密码linuxrz ssh root@IP 1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割 2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割 3.爆破用户名字典是什么?如果有多个使用","分割 4.登陆成功的IP共爆破了多少次 5.黑客登陆主机后新建了一个后门用户,用户名是多少
服务器被黑客攻击:如何查看攻击流量
最新发布
@云安全小杜
11-01 1031
通过上述法和技术,系统管理员可以有效地检测和分析服务器上的攻击流量。及时发现并响应攻击行为,有助于提高服务器的安全性和稳定性。建议定期审查日志文件,使用流量分析工具和入侵检测系统,结合自动化脚本,全面保障服务器的安全
网络信息安全试题解析:攻防知识与实践
"这些题目涉及了网络攻防的相关知识,包括网络类型、网络安全网络设备、操作系统安全、病毒防范、数据加密以及密钥管理等多个面,适用于网络信息安全考试的复习和学习。" 1. 局域网类型: 题目提到了四种局域网...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值