应急响应（Linux）

一、应急响应流程

1. 初步评估与隔离
   • 确认安全事件：通过监控系统日志、网络流量、系统性能等，初步判断系统是否遭受攻击。
   • 隔离受感染系统：将受感染的系统从网络中隔离出来，防止攻击扩散。
2. 信息收集与分析
   • 系统日志分析：检查/var/log目录下的日志文件，特别是/var/log/secure、/var/log/auth.log等安全相关日志，查找异常登录、权限变更、系统命令执行等记录。
   • 进程与网络连接分析：使用ps、top、netstat、ss等命令查看当前运行的进程和网络连接，识别可疑进程和异常网络连接。
   • 文件与目录检查：检查系统关键目录（如/bin、/sbin、/usr/bin、/usr/sbin等）和文件，查找被篡改或恶意植入的文件。
3. 威胁识别与评估
   • 恶意软件分析：对可疑文件进行静态和动态分析，确定其是否为恶意软件，并了解其行为和目的。
   • 漏洞评估：检查系统是否存在已知的安全漏洞，评估漏洞的严重程度和可能的影响范围。
4. 应急处理与恢复
   • 清除恶意软件：根据恶意软件的分析结果，采取适当的措施清除恶意软件，如删除文件、停止进程、卸载恶意软件包等。
   • 系统加固：修复系统漏洞，更新系统和应用程序的补丁，加强系统安全配置，如禁用不必要的服务、限制用户权限等。
   • 数据恢复：如果数据受到损害，尝试使用备份数据恢复系统或关键数据。
5. 总结与报告
   • 事件总结：对安全事件进行总结，分析攻击者的入侵路径、攻击手法和攻击目的。
   • 编写报告：编写详细的应急响应报告，记录事件发生的时间、地点、影响范围、处理过程和结果等信息。
   • 持续改进：根据事件总结和经验教训，制定改进措施，加强系统的安全防护能力。

二、应急响应工具

在Linux应急响应过程中，可以使用多种工具来辅助排查和处置，如：

• 系统监控工具：如top、htop、iostat等，用于实时监控系统的CPU、内存、磁盘等资源使用情况。
• 日志分析工具：如logwatch、goaccess等，用于分析系统日志，提取关键信息。
• 网络分析工具：如netstat、ss、tcpdump等，用于分析网络连接和流量。
• 文件与目录检查工具：如find、grep、awk等，用于搜索和过滤文件系统中的文件和目录。
• 恶意软件检测工具：如ClamAV、Sophos等，用于检测系统中的恶意软件。

三、系统基本信息检查

1. 查看CPU信息：
   • lscpu：显示CPU架构信息。
2. 查看操作系统信息：
   • uname -a：显示详细的系统信息，包括内核名称、主机名、内核发行版、内核版本、机器硬件名称、处理器类型、硬件平台、操作系统名称等。
   • cat /proc/version：查看操作系统版本信息。
3. 查看已载入系统模块的信息：
   • lsmod：列出当前已加载到内核中的所有模块。

四、用户信息排查

1. 查看系统所有账户：
   • cat /etc/passwd：列出系统上的所有用户信息。
2. 查看超级权限账户：
   • awk -F: '{if($3==0)print $1}' /etc/passwd：查找UID为0的用户，即超级用户（通常是root）。
3. 查看可登录用户：
   • cat /etc/passwd | grep '/bin/bash'：查找以/bin/bash作为登录shell的用户，这些用户通常可以登录系统。
4. 查看空口令账户：
   • awk -F: 'length($2)==0 {print $1}' /etc/shadow：查找密码字段长度为0的用户，即空口令用户（注意：/etc/shadow文件通常只对root用户可读）。
5. 查看用户登录信息：
   • lastb：查看用户登录失败的信息。
   • lastlog：查看所有用户的最后登录信息。
   • last：查看用户的最近登录信息。
   • who：查看当前登录系统的用户信息。

三、进程和网络排查

1. 查看进程信息：
   • top：实时显示系统中各个进程的资源占用情况。
   • ps -ef：显示当前系统中的所有进程及其详细信息。
2. 排查网络连接状态：
   • netstat -anptul：显示当前系统的网络连接、路由表、接口统计等信息，并显示监听状态的TCP和UDP端口。
   • lsof -p PID：查看指定PID的进程打开的文件。
   • lsof -i:port：查看指定端口对应的程序。
3. 结束进程：
   • kill -9 PID：强制结束指定PID的进程。

五、文件痕迹排查

1. 查找特定类型的文件：
   • find / -type f -name "*.sh"：在根目录下查找所有扩展名为.sh的文件。
   • find / -mtime 0：查找24小时内修改过的文件。
   • find / -perm 777：查找具有777权限的文件（即所有用户都有读、写、执行权限）。
2. 查看文件创建、修改、访问时间：
   • stat 文件名：查看指定文件的详细修改、创建和访问时间。
3. 检查系统命令是否被替换：
   • ls -alt /bin：查看/bin目录下系统命令的修改时间，以判断是否被恶意替换。

六、日志分析

Linux系统中的日志是安全分析的重要来源，常见的日志文件包括：

• /var/log/message：记录系统启动和运行过程中的错误、警告等信息。
• /var/log/wtmp：记录所有用户的登录和注销信息，可以使用last命令查看。
• /var/log/cron：记录周期性计划任务的相关信息。
• /var/log/apache2/access.log（对于Apache服务器）：记录Web服务器的访问日志。
• /var/log/auth.log：记录系统授权信息，包括用户登录和使用的权限机制等。。