概要
当企业发生入侵事件或其它安全事件时,第一时间进行处理,使信息系统在最短时间内恢复正常工作,及时采取安全防范措施,并进一步完成溯源 。
Linux系统排查
1、查看日志信息是否还存在或者是否被清空
ll -h /var/log/*
du sh /var/log/*
2、查看/etc/passwd及/etc/shadow文件、查看是否还有其他特权用户(默认只有一个特权用户 root 即uid=0)
more /etc/passwd、more /etc/shadow
awk -F: '$3==0{print $1}' /etc/passwd
3、查看机器当前登录的全部用户,对应日志文件“/var/run/utmp”
who # tty:本地登录 pts:远程登录
4、查看机器创建以来登陆过的用户, 对应日志文件“/var/log/wtmp”
last
5、查看机器最近成功登陆的事件和最后一次不成功的登陆事,查看日志“/var/log/lastlog”
lastlog
6、查看机器所有用户的连接时间(小时),对应日志文件“/var/log/wtmp”
ac -dp
7、如果发现机器产生了异常流量
可以使用命令“tcpdump”抓取网络包查看流量情况或者使用工具”iperf”查看流量情况
8、尝试发现入侵者的信息,可以查看/var/log/secure日志文件
cat /etc/log/secure | grep -i "accepted password"
9、查询异常进程所对应的执行脚本文件
top命令查看异常进程对应的PID
使用ps -ef和top命令查看是否有异常进程,确认该进程为恶意进程后,可以使用kill -9 进程ID或者pkill -9 进程名命令结束进程,或使用防火墙限制进程外联,限制远程登录的 IP,编辑/etc/hosts.deny 、/etc/hosts.allow两个文件来限制 IP。
运行netstat -antp,查看服务器是否有未被授权的端口被监听,查看下对应的 pid。
10、检查恶意程序和可疑启动项
a、使用chkconfig --list(Centos) 、systemctl list-unit-files --type=service --state=enabled(Ubuntu/Debian)命令,查看开机启动项中是否有异常的启动服务。
如发现有恶意进程,可使用chkconfig 服务名 off 关闭(Centos)或者使用 systemctl disable/stop 服务名来禁用/停止(Ubuntu/Debian),同时检查/etc/rc.local中是否有异常项目,如有请注释掉
b、进入 cron 文件目录,查看是否存在非法定时任务脚本。
查看/etc/crontab,/etc/cron.d,/etc/cron.daily,cron.hourly/,cron.monthly,cron.weekly/是否存在可疑脚本或程序。
11、查看系统信息
w #可以知道某一时刻用户的行为
12、查看的用户的多少,用户上线了多久,以及负载
uptime
13、查看用户上一次密码修改时间
stat /etc/passwd #如果近期修改过,可能存在问题
14、查看不可登录之外的用户
cat /etc/passwd | grep -v nologin #有无新增用户,有则可能存在问题
15、查看登录失败的用户
lastb
16、检查进程
ps -aux-a
ps –aux | grep pid
17、定时任务
crontab -l #如果有不是管理员设置的定时任务很可能是黑客留下的
查看有哪些用户有定时任务
ls /var/spool/cron
Windows系统排查
1、查看用户;
打开 cmd 窗口输入 lusrmgr.msc 命令,可查看是否存在新增账号,或者 administator 组里
2、查看日志;
通过日志,查看所有用户登录是否存在异常(4624:登录成功 4625:登陆失败)** cmd中输入 eventvwr.msc 弹出事件查看器,采取人工进行分析
3、查看异常端口;
cmd中输入 netstat 命令查看网络连接,已建立连接(ESTABLISHED)
netstat 查出来的可疑连接 PID ,通过 tasklist 命令进行进程定位,可以看到文件名称
查看Windows服务所对应的端口,路径在 C:\Windows\System32\drivers\etc
cmd 输入msinfo32 弹出系统信息,也会显示详细进程
图形化展示 ->任务管理器
也可使用D盾查看是否存在可疑进程,这里需要详细查看
4、直接使用360、火绒等安全软件工具,排查注册表、启动项、病毒扫描、可疑文件扫描等
5、可使用D盾、河马等工具直接查杀webshell等
6、分析最近打开的可疑文件 ,WIN+R ,输入如下命令进行查看;输入%UserProfile%\Recent
小结:总结的这些属于常用的排查防范入侵方法,如描述解释有误,欢迎指正、补充!