一、应急响应概述
安全事件分类
1.木马后门事件
2.异常登录事件
3.钓鱼邮件事件
4.漏洞攻击事件
5.暴力破解事件
6.数据窃取事件
7.拒绝服务事件
一级事件
演戏目标被控制,安全红色预警,一级响应
二级事件
重要系统或者设备被控制,安全红色预警,一级响应
三级事件
内网一般设备被控制,安全橙色预警,二级响应
四级事件
MDZ区一般设备被控制,安全橙色预警,三级响应
五级事件
DMZ区设备遭到攻击或内网终端遭到攻击,安全黄色预警,三级响应
应急响应流程(常规)
1、信息收集
2、类型判别
3、原因分析
4、事件处置
5、编写报告
二、Linux入侵排查
排查点(重点)
1.系统资源 2.进程 3.网络连接 4.系统用户 5.日志 6.历史命令 7.SSH key 8.系统命令和别名篡改 9.启动项 10.定时任务
系统资源
cpu:1. top -c -o %cpu 2. ps -aux --sort=-pcpu | head -10
内存: 1. free -m 2. top -c -o %MEM
磁盘:df -Th
进程
ps -ef ps -aux gre "name" pidof "name" pstree(需要安装)
网络连接
lsof -i netstat -antpl iptables -L
系统用户
/etc/passwd
/etc/shadow
审计
其他日志
登录分析
历史命令
history
隐藏和删除:
set +o history 命令前加空格 history -c && >~./bash_history
SSH Key
~/.ssh/authorized_keys
启动和服务
chkconfig --list systemctl list-units /etc/rc.loca /etc/rc.d/rc/local
三、Linux应急响应
1.阻断进程
禁止内外链接(可通过防火墙 IDS IPS等设备来禁止)
2.隔离主机
防止横向渗透(例如:拔网线)
3.清除病毒
杀进程: ps -elf | grep [pid] kill -9 [pid]
注:[pid]填写的是进程号并非“pid”
删文件
ls -al /proc/[pid]/exe rm -f [exe_path]
杀毒软件
ClamAV
4.杀进程
监控守护进程的行为:
lsof -p [pid] strace -tt -T -e trace==all -p $pid
注意:这里pid前面有个减号,表示杀掉这个进程组
kill -9 -[pid]
5.删除用户
/etc/passwd
/etc/shadow
userdel xxx 删除用户
rm -rf /home/xxx 删除用户文件夹
6.恢复命令、别名
查找被修改的系统文件
find /usr/bin /usr/sbin /usr/local/bin -type f -mtime +7 | xargs ls -la
find /usr/bin //usr/sbin //usr/local/bin/-type f-mtime +7|xargs ls -la
find
命令用于在指定目录下查找文件,-type f
表示只查找普通文件,-mtime +7
表示查找最近7天内修改过的文件,xargs ls -la
将查找到的文件名作为参数传递给 ls -la
命令,以显示它们的详细信息
AI给出的代码
find / -type f ! -path "/proc/*" ! -path "/sys/*" ! -path "/dev/*" ! -path "/run/*" ! -path "/tmp/*" ! -path "/var/cache/*" ! -path "/var/lib/apt/*" ! -path "/var/lib/dpkg/*" ! -path "/var/log/*" ! -path "/var/mail/*" ! -path "/var/spool/*" ! -path "/var/www/*" ! -path "/usr/share/doc/*" ! -path "/usr/share/man/*" -exec md5sum {} \; | sort > system_files_checksums.txt
md5deep -r /root/system_files_checksums.txt > modified_files.txt
7.删除SSH key
目录: ~/.ssh/ 如果添加了公钥文件就直接删除即可
8.启动项和服务
编辑文件:
/etc/rc.local 文件
/etc/rc.d/rc.local 文件
chkconfig[服务名] off
systemctl disable[服务名]
1.在/etc/rc.d/rc.local中添加服务启动命令
2.通过chkconfig配置
3.Centos通过systemctl enble 配置服务自启动
Centos开机自启动配置方式汇总_centos 开机启动-CSDN博客
9.删除定时任务
编辑任务文件,删除任务
corntab -l
cat /etc/cron.*
ll /etc/ancrontab 查看异步定时任务
more /var/log/cron 查看计划任务日志
参考资料:
https://github.com/Just-Hack-For-Fun/Linux-INCIDENT-RESPONSE-COOKBOOK