信息安全_Linux系统入侵应急响应处置思路.pdfVIP

  • 0
  • 0
  • 约5.9千字
  • 约 11页
  • 2021-01-22 发布于北京
  • 举报

信息安全_Linux系统入侵应急响应处置思路.pdf

Linux系统入侵应急响应处置思路 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进 行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵 事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服 务器入侵排查的思路。 第一部分 入侵排查思路 1. 账号安全 1.1 基本使用: A. 用户信息文件 /etc/passwd root:x\:0:0:root:/root:/bin/bash account:password:UID:GID:GECOS:directory:shell 用户名:密码:用户ID :组ID :用户说明:家目录:登陆之后shell 注意:无密码只允许本机登陆,远程不允许登陆 B. 影子文件 /etc/shadow root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oO AouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7::: 用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修 改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留 C. 几个常用命令: who 查看当前登录用户(tty 本地登陆 pts 远程登录) w 查看系统信息,想知道某一时刻用户的行为 uptime 查看登陆多久、多少用户,负载 1.2 入侵排查: A. 查询特权用户特权用户(uid 为 0) [root@localhost ~]# awk -F: $3==0{print $1} /etc/passwd B. 查询可以远程登录的帐号信息 [root@localhost ~]# awk /$1|$6/{print $1} /etc/shadow C. 除 root 帐号外,其他帐号是否存在 sudo 权限。如非管理需要,普通帐号应删除 sudo 权限 [root@localhost ~]# more /etc/sudoers | grep -v ^#|^$ | grep ALL=(ALL) D. 禁用或删除多余及可疑的帐号 usermod -L user 禁用帐号,帐号无法登录,/etc/shadow 第二栏为 ! 开头 userdel user 删除 user 用户 userdel -r user 将删除user用户,并且将/home 目录下的user目录一并删除 2 .历史命令 2.1 基本使用: 通过 .bash_history 查看帐号执行过的系统命令 A. root 的历史命令 histroy B. 打开 /home 各帐号目录下的 .bash_history ,查看普通帐号的历史命令 为历史的命令增加登录的IP地址、执行命令时间等信息: 1 )保存 1 万条命令 sed -i s/^HISTSIZE=1000/HISTSIZE=10000/g /etc/profile 2 )在/etc/profile 的文件尾部添加如下行数配置信息: 3 )source /etc/profile 让配置生效 生成效果: 1 2018-07-10 19:45:39 root source /etc/profile C. 历史操作命令的清除:history -c 但此命令并不会清除保存在文件中的记录,因此需要手动删除 .bash_profile 文件中的记录。 2.2 入侵排查: 进入用户目录下: cat .bash_history history.txt 3 .端口 使用 netstat 网络连接命令,分析可疑端口、IP、PID netstat -antlp|more 查看下pid所对应的进程文件路径, 运行 ls -l /proc/$PID/exe 或 file /proc/$PID/exe ($PID 为对应的 pid 号) 4. 进程 使用 ps 命令,分析进程 ps aux | grep pid 5. 开机启动项 5.1 基本使用: 系统运行级别示意图: 查看运行级别命令 runlevel 系统默认允许级别 vi /etc/inittab

文档评论(0)

1亿VIP精品文档

相关文档