事件分类:
web入侵:挂马,篡改,webshell
系统入侵:系统异常,RDP爆破,SSH爆破,主机漏洞病毒。
木马:远程,后门
勒索软件,信息泄露:脱裤,数据库登陆(弱口令)
网络流量:频繁发包,批量请求,DDOS攻击
应急排查操作
1,通过iptables完成网络层隔离
#/bin/bash
iptables-save > /root/iptables.bak ##备份系统的iptables规则文件
iptables -F
iptables -A INPUT -s 白名单IP -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -d 白名单IP -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
iptables -A OUTPUT -j DROP
在排查完成后,我们需要对iptables规则进行还原
iptables-restore < /root/iptables.bak
常见的linux后门总结:
- 增加超级用户账号
- 破解/嗅探用户密码
- 放置SUID Shell
- 利用系统服务程序
- TCP/UDP/ICMP Shell
- Crontab 定时任务
- 共享库文件
- 工具包rootkit
- 可装载内仿模块(LKM)
对于上面的后门,应对方法:
使用busybox工具进行检查,检查的步骤如下:
- 检查系统用户和系统的登陆时间
- 检查异常进程:
perf top -s pid,comm,dso,symbol ###显示恶意进程
top
lsof -p pid ###查看进程占用信息
lsof -i :port ###检查哪个进程使用这个端口
pstree ###以树状图显示进程间的关系
strace -f -p PID ###跟踪分析进程
3.检查异常系统文件
4.检查网络
watch netstat -antop ###实时监控网络连接
5.检查计划任务
crontab -l
cat /etc/crontab
ls -alh /etc/cron.*
/var/spool/cron/
6.检查系统命令
env ###检查环境变量
history
/etc/init.d/
7.检查系统日志
检查web的访问日志
/var/log/messages - 包括整体系统信息,包含系统启动期间的日志,mail,cron,daemon,kern和auth等内容也记录在此
/var/log/auth.log - 包含系统授权信息,包括用户登陆和使用的权限机制等
/var/log/boot.log - 包含系统启动时的日志
/var/log/daemon.log - 包含各种系统后台守护进程日志信息
/var/log/dpkg.log - 包含安装或dpkg命令清除软件包的日志
/var/log/lastlog - 记录所有用户的最近信息,这不是一个ascii文件,因此需要用lastlog命令进行查看。
/var/log/user.log - 记录所有等级用户信息的日志
/var/log/alternatives.log - 更新替代信息都记录在这个文件中
/var/log/btmp - 记录所有失败登陆信息,使用last命令可以查看btmp文件。
/var/log/faillog - 包含用户登录失败信息。此外,错误登陆命令也会记录在本文件中
/var/log/yum.log - 包含使用yum安装的软件包信息。
/var/log/cron - 定时任务日志
/var/log/secure - 验证和授权方面信息
/var/log/wtmp或/var/log/utmp - 包含登录信息。使用wtmp可以找出谁正在登陆进入系统,谁使用命令显示这个文件或信息等。该文件为二进制文件,需要使用命令last来查看
~/.bash_history
8.检查webshell使用工具:D盾
9.检查系统后门
使用chkrootkit,rkhunter,cleamav工具进行