Linux安全事件應急響應排查方法總結
Linux是服務器操作系統中最常用的操作系統,因爲其擁有高性能、高擴展性、高安全性,受到了越來越多的運維人員追捧。但是針對Linux服務器操作系統的安全事件也非常多的。***方式主要是弱口令***、遠程溢出***及其他應用漏洞***等。我的VPS在前幾天就遭受了一次被惡意利用掃描其他主機SSH弱口令安全問題。以下是我針對此次***事件,結合工作中Linux安全事件分析處理辦法,總結Linux安全應急響應過程中的分析方法。
一、分析原則
重要數據先備份再分析,儘量不要在原來的系統中分析;
已經被***的系統都不再安全,如果條件允許最好採用第三方系統進行分析
二、分析目標
找到***來源IP
找到***途徑
分析影響範圍
量化影響級別
三、數據備份採集
1.痕跡數據永遠是分析安全事件最重要的數據
在分析過程中,痕跡數據永遠是最重要的數據資料。所以第一件事自然是備份相關痕跡數據。痕跡數據主要包含如下幾點:
系統日誌:message、secure、cron、mail等系統日誌;
應用程序日誌:Apache日誌、Nginx日誌、FTP日誌、MySQL等日誌;
自定義日誌:很多程序開發過程中會自定義程序日誌,這些日誌也是很重要的數據,能夠幫我們分析***途徑等信息;
bash_history:這是bash執行過程中記錄的bash日誌信息,能夠幫我們查看bash執行了哪些命令。
其他安全事件相關日誌記錄
分析這些日誌的時候一定要先備份,我們可以通過tar壓縮備份好,再進行分析,如果遇到日誌較大,可以儘可能通過splunk等海量日誌分析工具進行分析。以下是完整備份var/log
路徑下所有文件的命令,其他日誌可以參照此命令:
#備份系統日誌及默認的httpd服務日誌tar -cxvf logs.tar.gz /var/html#備份lastlast > last.log#此時在線用戶w > w.log
2.系統狀態
系統狀態主要是網絡、服務、端口、進程等狀態信息的備份工作:
#系統服務備份chkconfig --list > services.log#進程備份ps -ef > ps.log#監聽端口備份netstat -utnpl > port-listen.log#系統所有端口情況netstat -ano > port-all.log
3.查看系統、文件異常
主要針對文件的更改時間、屬組屬主信息問題,新增用戶等問題,其他可以類推:
#查看用戶信息:cat /etc/passwd#查找最近5天內更改的文件find -type f -mtime -5
4.最後掃一下rootkit
Rootkit Hunter和chkrootkit都可以
四、分析方法
大膽猜測是最重要的,猜測***途徑,然後進行分析一般都會事半功倍。
一般來說,分析日誌可以找到很多東西,比如,secure日誌可以查看Accept關鍵字;last可以查看登錄信息;bash_history可以查看命令執行信息等,不同的日誌有不同的查看方式,最好是系統管理員的陪同下逐步排查,因爲系統管理員才最懂他的服務器系統。此處不做太多贅述。
五、分析影響
根據服務器的用途、文件內容、機密情況結合數據泄漏、丟失風險,對系統使用者影響等進行影響量化,並記錄相關安全事件,總結分析,以便後期總結。
如果已經被進行過內網***,還需要及時排查內網機器的安全風險,及時處理。
六、加固方法
已經被***的機器,可以打上危險標籤,最直接最有效的辦法是重裝系統或者系統還原。所以經常性的備份操作是必不可少的,特別是源代碼和數據庫數據。
通過分析的***途徑,可以進行進一步的加固處理,比如弱口令和應用漏洞等