搜索

Linux 应急响应流程及实战演练

gecimao 发表于 2019-07-03 02:32 | 查看: | 回复:

  当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。

  针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。

  3、除 root 帐号外,其他帐号是否存在 sudo 权限。如非管理需要,普通帐号应删除 sudo 权限

  2、打开 /home 各帐号目录下的.bash_history,查看普通帐号的历史命令

  但此命令并不会清除保存在文件中的记录,因此需要手动删除.bash_profile文件中的记录。

  例子:当我们需要开机启动自己的脚本时,只需要将可执行脚本丢在/etc/init.d目录下,然后在/etc/rc.d/rc*.d中建立软链接即可

  此处sshd是具体服务的脚本文件,S100ssh是其软链接,S 开头代表加载时自启动;如果是 K 开头的脚本文件,代表运行级别加载时需要关闭的。

  crontab -r删除每个用户 cront 任务(谨慎:删除所有的计划任务)

  当机器在 backup.sh 期望被运行时是关机的,anacron 会在机器开机十分钟之后运行它,而不用再等待 7 天。

  使用 ntsysv 命令管理自启动,可以管理独立服务和 xinetd 服务。

  chkconfig --list查看服务自启动状态,可以看到所有的RPM包安装的服务

  系统完整性可以通过 rpm 自带的 -Va 来校验检查所有的 rpm 软件包,查看哪些命令是否被替换了:

  如果一切均校验正常将不会产生任何输出,如果有不一致的地方,就会显示出来,输出格式是 8 位长字符串,每个字符都用以表示文件与 RPM 数据库中一种属性的比较结果 ,如果是. (点) 则表示测试通过。

  SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。SSH 口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。

  某天,网站管理员登录服务器进行巡检时,发现端口连接里存在两条可疑的连接记录,如下图:

  1、TCP 初始化连接三次握手吧:发 SYN 包,然后返回 SYN/ACK 包,再发 ACK 包,连接正式建立。但是这里有点出入,当请求者收到 SYS/ACK 包后,就开始建立连接了,而被请求者第三次握手结束后才建立连接。

  3、当客户端开始连接时,服务器还处于 LISTENING,客户端发一个 SYN 包后,服务端接收到了客户端的 SYN 并且发送了 ACK 时,服务器处于 SYN_RECV 状态,然后并没有再次收到客户端的 ACK 进入 ESTABLISHED 状态,一直停留在 SYN_RECV 状态。

  在这里,SSH(22)端口,两条外网 IP 的 SYN_RECV 状态连接,直觉告诉了管理员,这里一定有什么异常。

  接下来,我们想到的是/var/log/secure,这个日志文件记录了验证和授权方面的信息,只要涉及账号和密码的程序都会记录下来。

  1、统计了下日志,发现大约有 126254 次登录失败的记录,确认服务器遭受暴力破解

  通过日志分析,发现攻击者使用了大量的用户名进行暴力破解,但从近段时间的系统管理员登录记录来看,并未发现异常登录的情况,需要进一步对网站服务器进行入侵排查,这里就不再阐述。

  SSH暴力破解依然十分普遍,如何保护服务器不受暴力破解攻击,总结了几种措施:

  1、禁止向公网开放管理端口,若必须开放应限定管理 IP 地址并加强口令安全审计(口令长度不低于 8 位,由数字、大小写字母、特殊字符等至少两种以上组合构成)。

  短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送。 在系统维护中,一般很难去察觉,需要借助网络安全设备或者抓包分析,才能够去发现。

  某天,网络管理员在出口 WAF 检测到某台服务器不断向香港I发起请求 ,感觉很奇怪,登录服务器排查,想要找到发起短连接的进程。

  登录服务器查看端口、进程,并未发现发现服务器异常,但是当多次刷新端口连接时,可以查看该连接。 有时候一直刷这条命令好十几次才会出现,像这种的短连接极难捕捉到对应的进程和源文件。

  手动捕捉估计没戏,很难追踪,于是动手写了一段小脚本来捕捉短连接对应的pid和源文件。

  跑了三次脚本,可以发现短连接每次发起的进程 Pid 一直在变,但已经捕捉到发起该异常连接的进程源文件为/usr/lib/nfsiod

  本文简单介绍了短连接以及捕捉短连接源文件的技巧,站在安全管理员的角度,应加强对网络安全设备的管理,在网络层去发现更多在系统层很难察觉的安全威胁。

  随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式。新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率,通过利用永恒之蓝(EternalBlue)、web 攻击多种漏洞(如 Tomcat 弱口令攻击、Weblogic WLS 组件漏洞、Jboss 反序列化漏洞、Struts2 远程命令执行等),导致大量服务器被感染挖矿程序的现象 。

  某天,安全管理员在登录安全设备巡检时,发现某台网站服务器持续向境外IP发起连接,下载病毒源:

  登录服务器,查看系统进程状态,发现不规则命名的异常进程、异常下载进程 :

  到这里,我们可以发现攻击者下载 logo.jpg 并执行了里面了 shell 脚本,那这个脚本是如何启动的呢?

  通过排查系统开机启动项、定时任务、服务等,在定时任务里面,发现了恶意脚本,每隔一段时间发起请求下载病毒源,并执行 。

  可以发现攻击代码中的操作与定时任务中异常脚本一致,据此推断黑客通过 Struct 远程命令执行漏洞向服务器定时任务中写入恶意脚本并执行。

  Linux 盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的 DDoS 木马,主要恶意特点是具备了后门程序,DDoS 攻击的能力,并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中,大量使用 Gates 这个单词。分析和清除盖茨木马的过程,可以发现有很多值得去学习和借鉴的地方。

  某天,网站管理员发现服务器 CPU 资源异常,几个异常进程占用大量网络带宽:

  查看进行发现 ps aux 进程异常,进入该目录发现多个命令,猜测命令可能已被替换

  登录服务器,查看系统进程状态,发现不规则命名的异常进程、异常下载进程 :

  系统完整性也可以通过 rpm 自带的 -Va 来校验检查所有的 rpm 软件包,有哪些被篡改了,防止 rpm 也被替换,上传一个安全干净稳定版本 rpm 二进制到服务器上进行检查

  如果一切均校验正常将不会产生任何输出。如果有不一致的地方,就会显示出来。输出格式是8位长字符串,c 用以指配置文件, 接着是文件名. 8 位字符的每一个 用以表示文件与 RPM 数据库中一种属性的比较结果 。. (点) 表示测试通过。.下面的字符表示对 RPM 软件包进行的某种测试失败:

  -i:copy-in 模式,还原-d:还原时自动新建目录-v:显示还原过程

  以“网络安全为人民,网络安全靠人民”为主题的第四届国家网络安全宣传周结束了,但是作为一名网络安全从业者,我们的责任与义务远不止于参与各种安全周之中的活动而已。提升全民的网络安全意识、普及《中华人民共和...博文来自:朔方飞絮谈安全

  【若侵权请联系删除】本文作者:bypass(信安之路作者团队成员amp;amp;个人公众号bypass)当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,...博文来自:纸房子

  本文总结了目前网络上比较流行的渗透测试演练系统,这些系统里面都提供了一些实际的安全漏洞,排名不分先后,各位安全测试人员可以亲身实践如何利用这个漏洞,同时也可以学习到漏洞的相关知识。 DVWA(Dam...博文来自:weixin_34205076的博客

  为加强北海市电子政务系统的安全管理,形成科学有效、反应迅速的处置机制,提高网络与信息安全事件的应急处置能力,最大限度地保障系统的设备安全、数据安全和运行安全,根据《中华人民共和国突发事件应对法》、公安...博文来自:cnbirds blog

  大神门,怎么写应急演练”及“应急方案” 1、帐号登录失败 2、首页无法访问 3、数据库故障恢复 4、FTP故障恢复 5、短信故障恢复 6、邮件故障恢复 7、紧急断网论坛

  0x00前言​SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等...博文来自:微信公众号Bypass

  声明:本文中介绍的相关方法或技术仅限于DDOS攻击演练或内网测试,如果用于公网的网络攻击,后果自负。最近根据公司进行应急演练的要求,组织进行了一次抗DDOS应急演练,以检验公司的抗DDOS防护设备或服...博文来自:ilnature2008的博客

  前言本文是前段时间处理某用户被黑的分析总结,用户被黑的表现是使用爬虫访问用户网站的首页时会出现博彩关键字,而使用正常浏览器访问时无相关的博彩关键词。这是典型的黑帽SEO的表现,针对这种技术,之前已有相...博文来自:Fly_鹏程万里

  可以按照分析的清理就行,不是很难,已经全部分析完了,包括本地文件和云端的部分样本。病毒不是很难,这病毒最牛逼的地方在于,自动化扫描攻击。通过cmd开启655313233端口,来标记该机器是否已经被感染...博文来自:weixin_34198881的博客

  今天,在一个QQ群,一个叫Coody的人,把我个人信息发出来了,并扬言要送给我200QPS。过了一会,我发现网站报警了,一查存在大量的异常访问。所以了就有了本......博文来自:weixin_33670713的博客

  应急预案,顾名思义就是在发生突发安全事件时,能够起到应急处理的解决方案。还记得我刚参加工作时,领导就跟我说过这样一句话,平时的运维工作做得再好,也抵不上在发生突发事件情况......博文来自:数据中心运维管理

  有一句流行的鸡汤文大家都耳熟能详——我们走的太快,灵魂都跟不上了。这两天网易邮箱的数据泄露事件,又一次将我们的关注从“爆发性创新与指数级增长”拉回来审视当前糟糕的互联网基础环境,也许我们业务走的太快,...博文来自:刘书的IT博客

  喜迎十九大,悬镜安全为您的企业安全保驾护航。博文来自:Anprou的博客

  日常开发中,数据库的SQL编写基本占到了30%的工作量,但因为SQL没写好而造成的功能异常和性能缺少而造成的Bug远超过了30%。数据库之高性能MySQL实战演练系列通过实际业务场景复杂SQL的编写来...博文来自:GitChat

  应急响应流程最近要忙的事情很多,要学的也很多,正好领导也要求做应急响应基础流程,基本上已经完工。细节部分还在完善,现在就将整体框架拿出来做个简单分享。应急响应基础流程应急响应​随着国家信息化建设进程的...博文来自:12306小哥

  应急响应指的是在系统或者网站遭到黑客入侵后,我们需要对攻击事件的类型进行定义,对攻击发生的原因进行溯源分析,查找黑客入侵的方式以及是否留有后门,所以应急响应是一项十分重要的工作。本篇对应急响应的流程进...博文来自:weixin_44840696的博客

  1、发现问题。需要完善的监控系统、对网络,服务器cpu、负载、io、内存、连接数(文件句柄数)以及应用系统性能、异常日志进行全访问2、定位问题。分析问题发生的根源,思考是否对网络、硬件、应用进行升级,...博文来自:胡威的技术博客

  测试流程测试流程包含以下步骤:1、准备应用客户端做为测试终端,配置连向容灾数据库的连接字串;2、恢复容灾端归档日志;3、在datagurad数据库上创建还原点;4、激活Dataguard数据库;5、应...博文来自:zgl、荒的博客

  网站应急管理与应急处理流程介绍网站应急管理与应急处理流程介绍网站应急管理与应急处理流程介绍网站应急管理与应急处理流程介绍

  根据中国银监会办公厅关于《银行业重要信息系统突发事件应急管理规范(试行)》(银监办发〔2008〕53号)文件精神,为妥善应对和处置农村信用合作联社(以下简称:联社)信息系统突发事件,确保重要信息系统安全、稳定、持续运行,防止造成重大损失和...

  应急救援指导方案 消防图像综合管理平台作为各类图像系统集成,图像资源汇聚,可视化指挥的综合平台,在应急通信保障体系中具有极其重要的作用。

  1、 系统管理与维护常用命令1) Is列出当前目录下的文件2) Pwd显示当前路径3) Cd进入文件夹4) Date显示当前日期5) Passwd更改当前用户登录密码6) Su运行替换用户和组标识的s...博文来自:moon

  有些SRC平台及应急响应中心搜不到,这是我收集整理的,后续再添加。漏洞银行漏洞盒子春秋SRC部落https...博文来自:wswokao的博客

  一、应急简述数据中心机房内部要保持恒温恒湿,UPS室内部要保证恒温,空调系统必须全年24小时运转,一旦出现故障,时间一长数据中心内部的温度就会上来,很多服务器设备在温度超过40度时都会自动重启来保护设...博文来自:数据中心运维管理

  做数据库时间长了,可能会经常去客户那里进行应急处理问题,特别是客户急急忙忙的给你打电话,说数据库运行很慢,甚至说数据库无法使用了,让你到客户现场去解决问题,这个可能是大家最不想出现的,因为这个很急,到...博文来自:ylqiu1028的博客

  文件上传攻击指攻击者利用网站的一个上传接口来上传恶意木马文件,在此记录下我的学习过程首先编写文件上传代码lt;bodygt;lt;formaction=upl...博文来自:sydney__的博客

  jquery/js实现一个网页同时调用多个倒计时(最新的)nn最近需要网页添加多个倒计时. 查阅网络,基本上都是千遍一律的不好用. 自己按需写了个.希望对大家有用. 有用请赞一个哦!nnnn//jsn...博文来自:Websites

  这一篇,代码折腾的时间较长,完成之后都是一些小细节,主要有三:n1、引入的依赖错误;n2、启动配置错误;n3、xml文件的mapper命名空间错误。n一、完整的pom.xmlnn...博文来自:lxhjh的专栏

  本系列博客学习由非官方人员 半颗心脏 潜心所力所写,仅仅做个人技术交流分享,不做任何商业用途。如有不对之处,请留言,本人及时更改。1、 Esp8266之 搭建开发环境,开始一个“hellow worl...博文来自:徐宏的博客。

  扫二维码关注,获取更多技术分享nnn 本文承接之前发布的博客《 微信支付V3微信公众号支付PHP教程/thinkPHP5公众号支付》必须阅读上篇文章后才可以阅读这篇文章。由于最近一段时间工作比较忙,...博文来自:Marswill

  采用EasyUI 1.4.x 版本,默认default风格,异步加载页面,多Tab页展示,使用JSON文件模拟从后台动态获取数据。...博文来自:般若

  DirectX修复工具API Sets强力修复实验包下载地址:nn密码:5y5vnnnn实验包使用说明...博文来自:VBcom的专栏

  接着上次的图书管理系统rnrn修改完问题后把SpringBoot成功部署到了服务器上rn测试了下api接口,能正常访问rn那么下面就是在服务器上部署前端的vue.js了rnrnrn这里的话我们要明确一...博文来自:小时的枫的博客

  :姐姐我需要你的帮助,你在哪里,可以联系我吗。990334800真的很需要你的帮助

本文链接:http://kingstonflowers.net/dingshichasha/780.html
随机为您推荐歌词

联系我们 | 关于我们 | 网友投稿 | 版权声明 | 广告服务 | 站点统计 | 网站地图

版权声明:本站资源均来自互联网,如果侵犯了您的权益请与我们联系,我们将在24小时内删除。

Copyright @ 2012-2013 织梦猫 版权所有  Powered by Dedecms 5.7
渝ICP备10013703号  

回顶部