Linux应急响应

已于 2024-06-15 12:52:19 修改
阅读量675 收藏 19
点赞数 30
文章标签: 网络 网络安全 安全 linux 服务器 运维
于 2024-06-15 12:50:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_68727073/article/details/139697992
版权

一、应急响应概述

        安全事件分类

                1.木马后门事件

                2.异常登录事件

                3.钓鱼邮件事件

                4.漏洞攻击事件

                5.暴力破解事件

                6.数据窃取事件

                7.拒绝服务事件

        一级事件

                演戏目标被控制,安全红色预警,一级响应

        二级事件

                重要系统或者设备被控制,安全红色预警,一级响应

        三级事件

                内网一般设备被控制,安全橙色预警,二级响应

        四级事件

                MDZ区一般设备被控制,安全橙色预警,三级响应

        五级事件

                DMZ区设备遭到攻击或内网终端遭到攻击,安全黄色预警,三级响应

        应急响应流程(常规)

                1、信息收集

                2、类型判别

                3、原因分析

                4、事件处置

                5、编写报告

二、Linux入侵排查

        排查点(重点

                1.系统资源        2.进程        3.网络连接        4.系统用户        5.日志        6.历史命令        7.SSH key        8.系统命令和别名篡改        9.启动项        10.定时任务

        系统资源

                cpu:1. top -c -o %cpu        2. ps -aux --sort=-pcpu | head -10

               内存: 1. free -m         2. top -c -o %MEM

                磁盘:df -Th       

        进程

                ps -ef        ps -aux gre "name"        pidof "name"        pstree(需要安装)

        网络连接

                lsof -i        netstat -antpl        iptables -L

        系统用户

                /etc/passwd

                /etc/shadow

        审计

                其他日志

        登录分析

        历史命令

                history

                隐藏和删除:

                set +o history        命令前加空格        history -c && >~./bash_history

        SSH Key

                ~/.ssh/authorized_keys

        启动和服务

                chkconfig --list        systemctl list-units        /etc/rc.loca        /etc/rc.d/rc/local

三、Linux应急响应

        1.阻断进程

                禁止内外链接(可通过防火墙 IDS IPS等设备来禁止)

        2.隔离主机

                防止横向渗透(例如:拔网线)

        3.清除病毒

                杀进程: ps -elf | grep [pid]        kill -9 [pid]       

                        注:[pid]填写的是进程号并非“pid”

                删文件

                        ls -al /proc/[pid]/exe        rm -f [exe_path]

                杀毒软件

                        ClamAV

        4.杀进程

                监控守护进程的行为:

                        lsof -p [pid]        strace -tt -T -e trace==all -p $pid

注意:这里pid前面有个减号,表示杀掉这个进程组

                        kill -9 -[pid]

        5.删除用户

                /etc/passwd

                /etc/shadow

                userdel xxx        删除用户

                rm -rf /home/xxx        删除用户文件夹

        6.恢复命令、别名

                查找被修改的系统文件

                find /usr/bin /usr/sbin /usr/local/bin -type f -mtime +7 | xargs ls -la

                find /usr/bin //usr/sbin //usr/local/bin/-type f-mtime +7|xargs ls -la

find 命令用于在指定目录下查找文件,-type f 表示只查找普通文件,-mtime +7 表示查找最近7天内修改过的文件,xargs ls -la 将查找到的文件名作为参数传递给 ls -la 命令,以显示它们的详细信息

AI给出的代码

find / -type f ! -path "/proc/*" ! -path "/sys/*" ! -path "/dev/*" ! -path "/run/*" ! -path "/tmp/*" ! -path "/var/cache/*" ! -path "/var/lib/apt/*" ! -path "/var/lib/dpkg/*" ! -path "/var/log/*" ! -path "/var/mail/*" ! -path "/var/spool/*" ! -path "/var/www/*" ! -path "/usr/share/doc/*" ! -path "/usr/share/man/*" -exec md5sum {} \; | sort > system_files_checksums.txt

md5deep -r /root/system_files_checksums.txt > modified_files.txt

        7.删除SSH key

                目录: ~/.ssh/  如果添加了公钥文件就直接删除即可

        8.启动项和服务

                编辑文件:

                        /etc/rc.local 文件

                        /etc/rc.d/rc.local 文件

                        chkconfig[服务名] off

                        systemctl disable[服务名]

                1.在/etc/rc.d/rc.local中添加服务启动命令

                2.通过chkconfig配置

                3.Centos通过systemctl enble   配置服务自启动

Centos开机自启动配置方式汇总_centos 开机启动-CSDN博客

        9.删除定时任务

                编辑任务文件,删除任务

                        corntab -l

                        cat /etc/cron.*

                        ll /etc/ancrontab 查看异步定时任务

                        more /var/log/cron 查看计划任务日志

参考资料:

        https://github.com/Just-Hack-For-Fun/Linux-INCIDENT-RESPONSE-COOKBOOK

顾北的顾顾北的北
关注
  • 30
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux应急响应工具箱
03-31
Linux应急响应工具箱,自动化脚本收集到信息以判断病毒情况。
Linux 应急响应流程及实战演练.docx
06-10
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
Linux 应急响应手册v1.3 发行版-s1
08-04
Linux 应急响应手册v1.3 发行版-s1
Linux应急响应排查
热门推荐
weixin_43526443的博客
01-29 7万+
上一篇文章说到Windows的应急响应排查,本篇文章就来说说Linux应急响应排查。 首先,前期交互这部的内容还是不能少的,毕竟掌握的信息越多,排查的思路就越清晰。 Part1 熟悉主机环境 uname -a cat /proc/version lsb_release -a 首先,先对排查主机的基本信息有一个了解。 Part2 运行进程排查 首先熟悉一下ps命令的参数: ps [选项] -e 显示所有进程。 ...
linux应急响应命令
dashaziyihao的博客
10-12 1149
本人纯新手小白,写博客初衷是为了个人更好的记忆,也为了帮助一些像我一样的了解应急响应,让大家了解应急响应该干些什么事情。文章内容取自《网络安全应急响应技术实战指南》。
linux应急响应
hakksjss的博客
04-08 1237
注意:尽量禁用,等待所有应急操作结束后在删除用户及目录。禁用账号,始账号无法登陆,特点为第二栏,为!记录用户登录、注销、重启、关机等事件,,注:无密码用户默认仅能本地登录。是否存在管理员不明确身份的账号。确认可远程账户是否设置强密码,等对方操作系统有的终端都要看。可查看计划任务的基本使用格式。删除用户,并移除其家目录。重点检查运行的脚本、文件。②匹配查找文件生成时间。③检查隐藏文件或文件夹。查看hisroty记录。匹配关键字,排列、去重。检查是否存在自启服务。
linux应急响应基础命令
siu~
04-16 668
linux应急响应基础命令
linux服务器应急响应,Linux应急响应手册
weixin_42520132的博客
04-28 478
一个企业的信息安全建设,最基本的无非是要做好三件事:第一件是事前的安全基线,从源头尽可能保证新上线系统的安全性;第二件是建立事中的监控能力,各种多维度的入侵检测和防御,做到有针对性、及时的救火;第三件是做好事后的应急响应能力,让应急的时间成本更短,溯源和根因析的能力更强。可见在企业信息安全建设中,应急响应是很关键的一个环节。基本上每个安全从业者都经历过安全应急响应,有些没有专职安全人员的企业,应...
linux应急响应基础和常用命令
菜鸟学安全的博客
12-17 2216
linux应急响应基础和常用命令基于linux系统本身进行应急响应
最新Linux 应急响应手册v1.8 发行版
01-11
最新Linux 应急响应手册v1.8 发行版
Linux应急响应辅助排查脚本
10-20
Linux应急响应辅助排查脚本 一键运行导出日志 将该脚本下载并移动到Linux任意文件夹,以root权限运行即可导出result.log辅助快速应急响应主机排查。 可使用此脚本用于析日常服务器差异及被攻击行为。
Linux应急响应——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)下载地址.txt
04-21
Linux应急响应——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)下载地址,真实有效,亲测可用。
Linux &Windows应急响应手册.pdf
12-08
Linux &Windows应急响应手册.pdf
Linux 应急响应手册-v1.7-发行版
04-27
Linux应急响应手册-v1.7-发行版》是一份由NOP Team编写的详细指南,主要针对Linux运维人员和网络安全专家,旨在提供处理各种紧急情况和安全事件的策略与技术。该手册经过多次更新,增加了新的内容以提高应对网络...
Linux 应急响应手册
技术超强的网络安全平台
05-13 366
具体内容如下 获取下载地址 关注红云谈安全公众号并发送应急响应即可获取下载地址 如以下形式:
Linux应急响应
weixin_64312503的博客
05-21 119
上一篇文章主要介绍了windows应急响应的基础技术析能力,那么本章继续对linux操作系统中应急响应的基础技术析能力做一下介绍,希望能对有需要的同学有帮助。以上便是我对linux系统中应急响应过程中常用的一些功能和析方法,从10个方面进行了描述。当然往往一些安全事件的复杂性可能超出了这些范围,但是当我们将基础的一些思路和方法都掌握了,对于一些变化上的析灵活运用和实操便可。文章转载至:奇安信攻防社区-Linux应急响应篇 (butian.net)
linux 应急响应工具整理列表
securitypaper的博客
07-02 791
linux 应急响应工具整理列表
Linux应急响应流程
最新发布
06-09
Linux应急响应Linux Incident Response, LIR)是一个系统管理员或安全专家在Linux系统遭受安全事件时采取的一系列步骤。这个流程通常包括以下几个阶段: 1. **检测和确认**: - 监控系统日志和安全工具(如审计工具、入侵检测系统)以发现异常活动。 - 确认事件是否真实发生,而不是误报或意外。 2. **隔离和封锁**: - 尽快从网络上隔离受攻击的系统,防止进一步的损害或感染其他设备。 - 切断可能被利用的服务或连接。 3. **证据收集**: - 保存现场,包括截图、日志文件、网络流量等,为后续调查提供线索。 - 避免修改任何可能影响调查的信息。 4. **析和识别**: - 使用工具析恶意软件、行为模式,确定攻击类型和方法。 - 查阅安全数据库和情报,查找类似攻击案例。 5. **修复和恢复**: - 修复已知的安全漏洞。 - 清理恶意软件,如使用取证工具清除恶意进程和文件。 - 数据恢复,如果可能的话,从备份中恢复受损数据。 6. **报告和沟通**: - 编写详细的事件报告,包括发现的威胁、应对措施和建议。 - 向管理层和相关人员通报情况,可能还包括外部安全团队或执法机构。 7. **预防和改进**: - 更新系统补丁和安全配置。 - 完善安全策略和流程,提高应急响应能力。 - 培训团队,增强安全意识和应对技巧。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值