linux应急响应-排查顺序的重要性

最新推荐文章于 2024-03-18 13:14:18 发布
最新推荐文章于 2024-03-18 13:14:18 发布
阅读量157 收藏
点赞数
分类专栏: web安全 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011975363/article/details/119955545
版权

正准备出发去公司的路上,收到老大发来的腾讯云告警信息:有服务器,被暴力破解成功,这等于拿下服务器控制权呀。
来到公司后,开始一顿操作猛如虎,查 历史命令,进程,网络状态,服务,最近三天修改的文件,结果没发现异常,还怀疑是不是攻击者删除日志。
后来老大问我攻击者具体登录时间,于是我打开下载的secure日志,定位登录时间:05:13:59
在这里插入图片描述
突然想到可以查查断开登录的时间,这。。。在这里插入图片描述
断开登录时间为:05:14连接就保持了一秒,登录成功后也有很多登录失败的记录,直到登录错误次数达最大限度,很明显这是晚上开着爆破跑,自己去休息了。
如果我一开始就排查登录成功后保持连接的时间,就不用花时间分析:计划任务,历史命令,修改的文件了。经验不足呀。

排查笔记

  • 查登录日志 :/var/log/secure 日志, Accepted success代表登录成功,session closed 代表断开连接
  • 查定时计划:crontab -l
    在这里插入图片描述
  • 查cpu 是否正常 top
    在这里插入图片描述
  • 河马全盘扫描 下载地址:https://www.shellpub.com/
小心灵呀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全从入门到精通(特别篇I):Linux安全事件应急响应Linux应急响应基础必备技能
HACKONE的博客
04-10 98
awk 首先将每条日志中的IP抓出来,如日志格式被自定义过,可以 -F 定义分隔符和 print指定列;
Linux 应急响应技巧
wzlsunice88的博客
11-10 143
留存备用 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Linux没有像Autorun、procexp这样的应急响应利器,也没有统一的应急响应处理流程。所以,这篇文章将会对Linux环境下的应急响应流程进行讲解,并且提供每一个环节中所用到的shell命令,以帮助大家快速、系统化地处理Linux环境下的病毒。 处理Linux应急响应主要分为这4个环节: 识别现象->清除病毒->闭环兜底->系统加固 首先从用户场景的主机异常现象出发,先识...
【安全服务】应急响应1:流程、排查与分析
kkza的博客
09-08 1万+
一、应急响应流程 应急响应分为六个阶段,分别是 准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结 这种划分方法也称PDCERF方法 实际上,应急响应并不是严格遵从这个方法的,大多数情况都要具体问题具体分析 1 准备阶段 以预防为主,主要是要进行风险评估等工作,包括建立信息安全管理体系、部署安全设备和安装防护软件、建立应急响应和演练制度等等。 2 检测阶段 这个阶段是在安全事件发生后的,主要是判断安全事件是否还在发生,安全事件产生的原因,对业务的危害程度以及预计如何处理。 ..
「干货」Linux 应急响应日志分析命令「详细总结」
橙留香Park的博客
02-25 6315
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
服务器病毒木马通用排查处理应急响应流程
it知识分享 free for nothing..
03-18 1944
服务器病毒木马通用排查处理应急响应流程
网络安全应急响应(归纳)
只有不断学习才不会被茫茫人海淹没!
06-09 1万+
1、概念 应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。 2、PDCERF(6阶段) a.准备阶段:预防为主,例如扫描、风险分析、打补丁等。简历监控措施、简历数据汇总分析体系、制定能够实现应急响应目标的策略和规程,建立信息沟通渠道,建立能够集合起来处理突发事件的体系。 b.检测阶段:检测事件是已经发生的还是正在进行中的,以及事件产生的原因。确定事件性质和影响的严重程度,以
应急响应总体流程
m0_67284865的博客
05-18 1398
​ 主要任务是回顾并整合应急响应过程的相关信息,进行事后分析总结和修订安全计划、政策、程序,并进行训练,以防止入侵的再次发生。基于入侵的严重性和影响,确定是否进行新的风险分析,给系统和网络资产制作一个新的目录清单。这一阶段的工作对于准备阶段工作的开展起到重要的支持作用。​ 总结阶段的工作主要包括以下3方面的内容:(1)形成事件处理的最终报告:(2) 检查应急响应过程中存在的问题,重新评估和修改事件响应过程;(3) 评估应急响应人员相互沟通在事件处理上存在的缺陷,以促进事后进行更有针对性的培训。
网络安全应急响应的基本流程
网络安全
08-30 5034
分析事件原因攻击来源,IP攻击行为分析,弱口令、可以导致命令执行的漏洞等输出应急报告事后观察提供加固建议。
应急响应的基本流程(建议收藏)
ITIL之家公众号
01-04 4617
注意在整个过程中不要被客户或现场的运维人员误导。操作前需先征得客户许可。因实际的应急情况会比较复杂,因此需根据实际情况进行灵活处置。1.了解情况发生时间:询问客户发现异常事件的具体时间,后...
Linux应急响应辅助排查脚本
10-20
Linux应急响应辅助排查脚本 一键运行导出日志 将该脚本下载并移动到Linux任意文件夹,以root权限运行即可导出result.log辅助快速应急响应主机排查。 可使用此脚本用于分析日常服务器差异及被攻击行为。
应急响应-linux入侵排查.md
最新发布
06-19
应急响应-linux入侵排查.md
Linux应急响应排查基础.zip
02-11
Linux应急响应排查基础 包含如下7分文档 数据采集.docx history.docx 日志查看命令.docx PS.docx linux应急响应checkList.docx Linux应急响应.docx Linux日志系统.docx
应急响应Linux入侵排查思路
09-18
应急响应Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程...
Linux 应急响应流程及实战演练.docx
06-10
Linux应急响应流程及实战演练】是针对企业在遭遇黑客入侵、系统崩溃等安全事件时,如何迅速恢复网络信息系统正常运行的指南。以下是一些关键的知识点: 1. **账号安全**: - `/etc/passwd` 文件存储了所有用户的...
vmware 14 安装window 7时,出现Network boot from Intel E1000
热门推荐
u011975363的专栏
08-21 6万+
准备在vmware 14上安装window 7系统,在网上系统之家下载了个iso的镜像,按照网上的步骤: 先创建windows 虚拟机 在启动时,选择下载的iso镜像文件 网络设置选择NAT模式 点击启动时,却出现:operating system not found 当时还以为虚拟机设置出问题了,根据网上的教程,启动时进入bois系统进行设置: 在boot中将启动设...
xray与burp联动扫描
u011975363的专栏
05-12 2万+
上一篇博客主要描述利用xray挂代理进行被动扫描,但扫描器只能扫描出owasp top 10的漏洞,业务逻辑类漏洞需手工抓包进行测试,为了让被动扫描和手工测试 双管齐下,我们将xray与burp进行联动,在burp上配置xray代理,将burp流量转发给xray扫描,这样便可坐收漏洞了。
shiro反序列化漏洞复现
u011975363的专栏
10-08 1万+
搭建环境请参考:https://www.jianshu.com/p/0007eafd1f92 复现请参考:https://mp.weixin.qq.com/s/KkWL9SftCZSdkglW39Qw0Q 靶机:192.168.19.147 攻击机:192.168.19.146 • 搭建环境 获取docker镜像 Docker pull medicean/vulapps:s_shiro_1 重启d...
在centos中安装KVM,并导入.qcow2镜像
u011975363的专栏
09-05 1万+
在centos中安装KVM,并导入.qcow2镜像 2、导入镜像,安装系统 (1)镜像下载地址:http://isoredirect.centos.org/centos/7/isos/x86_64/CentOS-7-x86_64-DVD-1810...
Linux服务器应急响应:入侵排查与安全策略
在网络安全领域,Linux应急响应是确保业务连续性和数据安全的重要环节。以下是根据标题和描述中的内容,详细阐述的几个关键知识点: 1. **账号安全**: - `/etc/passwd` 文件存储了所有用户的账户信息,包括用户名...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值