信息安全_Linux系统入侵应急响应处置思路.pdfVIP

Linux系统入侵应急响应处置思路 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进 行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵 事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。 针对常见的攻击事件，结合工作中应急响应事件分析和解决的方法，总结了一些 Linux 服 务器入侵排查的思路。 第一部分 入侵排查思路 1. 账号安全 1.1 基本使用： A. 用户信息文件 /etc/passwd root:x\:0:0:root:/root:/bin/bash account:password:UID:GID:GECOS:directory:shell 用户名：密码：用户ID ：组ID ：用户说明：家目录：登陆之后shell 注意：无密码只允许本机登陆，远程不允许登陆 B. 影子文件 /etc/shadow root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oO AouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7::: 用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修 改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留 C. 几个常用命令： who 查看当前登录用户（tty 本地登陆 pts 远程登录） w 查看系统信息，想知道某一时刻用户的行为 uptime 查看登陆多久、多少用户，负载 1.2 入侵排查： A. 查询特权用户特权用户(uid 为 0) [root@localhost ~]# awk -F: $3==0{print $1} /etc/passwd B. 查询可以远程登录的帐号信息 [root@localhost ~]# awk /$1|$6/{print $1} /etc/shadow C. 除 root 帐号外，其他帐号是否存在 sudo 权限。如非管理需要，普通帐号应删除 sudo 权限 [root@localhost ~]# more /etc/sudoers | grep -v ^#|^$ | grep ALL=(ALL) D. 禁用或删除多余及可疑的帐号 usermod -L user 禁用帐号，帐号无法登录，/etc/shadow 第二栏为 ! 开头 userdel user 删除 user 用户 userdel -r user 将删除user用户，并且将/home 目录下的user目录一并删除 2 ．历史命令 2.1 基本使用： 通过 .bash_history 查看帐号执行过的系统命令 A. root 的历史命令 histroy B. 打开 /home 各帐号目录下的 .bash_history ，查看普通帐号的历史命令 为历史的命令增加登录的IP地址、执行命令时间等信息： 1 ）保存 1 万条命令 sed -i s/^HISTSIZE=1000/HISTSIZE=10000/g /etc/profile 2 ）在/etc/profile 的文件尾部添加如下行数配置信息： 3 ）source /etc/profile 让配置生效 生成效果： 1 2018-07-10 19:45:39 root source /etc/profile C. 历史操作命令的清除：history -c 但此命令并不会清除保存在文件中的记录，因此需要手动删除 .bash_profile 文件中的记录。 2.2 入侵排查： 进入用户目录下: cat .bash_history history.txt 3 ．端口 使用 netstat 网络连接命令，分析可疑端口、IP、PID netstat -antlp|more 查看下pid所对应的进程文件路径， 运行 ls -l /proc/$PID/exe 或 file /proc/$PID/exe （$PID 为对应的 pid 号） 4. 进程 使用 ps 命令，分析进程 ps aux | grep pid 5. 开机启动项 5.1 基本使用： 系统运行级别示意图： 查看运行级别命令 runlevel 系统默认允许级别 vi /etc/inittab