事件分類:
web入侵:掛馬,篡改,webshell
系統入侵:系統異常,RDP爆破,SSH爆破,主機漏洞病毒。
木馬:遠程,後門
勒索軟件,信息泄露:脫褲,數據庫登陸(弱口令)
網絡流量:頻繁發包,批量請求,DDOS攻擊
應急排查操作
1,通過iptables完成網絡層隔離
#/bin/bash
iptables-save > /root/iptables.bak ##備份系統的iptables規則文件
iptables -F
iptables -A INPUT -s 白名單IP -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -d 白名單IP -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
iptables -A OUTPUT -j DROP
在排查完成後,我們需要對iptables規則進行還原
iptables-restore < /root/iptables.bak
常見的linux後門總結:
- 增加超級用戶賬號
- 破解/嗅探用戶密碼
- 放置SUID Shell
- 利用系統服務程序
- TCP/UDP/ICMP Shell
- Crontab 定時任務
- 共享庫文件
- 工具包rootkit
- 可裝載內仿模塊(LKM)
對於上面的後門,應對方法:
使用busybox工具進行檢查,檢查的步驟如下:
- 檢查系統用戶和系統的登陸時間
- 檢查異常進程:
perf top -s pid,comm,dso,symbol ###顯示惡意進程
top
lsof -p pid ###查看進程佔用信息
lsof -i :port ###檢查哪個進程使用這個端口
pstree ###以樹狀圖顯示進程間的關係
strace -f -p PID ###跟蹤分析進程
3.檢查異常系統文件
4.檢查網絡
watch netstat -antop ###實時監控網絡連接
5.檢查計劃任務
crontab -l
cat /etc/crontab
ls -alh /etc/cron.*
/var/spool/cron/
6.檢查系統命令
env ###檢查環境變量
history
/etc/init.d/
7.檢查系統日誌
檢查web的訪問日誌
/var/log/messages - 包括整體系統信息,包含系統啓動期間的日誌,mail,cron,daemon,kern和auth等內容也記錄在此
/var/log/auth.log - 包含系統授權信息,包括用戶登陸和使用的權限機制等
/var/log/boot.log - 包含系統啓動時的日誌
/var/log/daemon.log - 包含各種系統後臺守護進程日誌信息
/var/log/dpkg.log - 包含安裝或dpkg命令清除軟件包的日誌
/var/log/lastlog - 記錄所有用戶的最近信息,這不是一個ascii文件,因此需要用lastlog命令進行查看。
/var/log/user.log - 記錄所有等級用戶信息的日誌
/var/log/alternatives.log - 更新替代信息都記錄在這個文件中
/var/log/btmp - 記錄所有失敗登陸信息,使用last命令可以查看btmp文件。
/var/log/faillog - 包含用戶登錄失敗信息。此外,錯誤登陸命令也會記錄在本文件中
/var/log/yum.log - 包含使用yum安裝的軟件包信息。
/var/log/cron - 定時任務日誌
/var/log/secure - 驗證和授權方面信息
/var/log/wtmp或/var/log/utmp - 包含登錄信息。使用wtmp可以找出誰正在登陸進入系統,誰使用命令顯示這個文件或信息等。
~/.bash_history
8.檢查webshell使用工具:D盾
9.檢查系統後門
使用chkrootkit,rkhunter,cleamav工具進行