Linux安全事件應急響應排查方法總結

Linux安全事件應急響應排查方法總結

Linux是服務器操做系統中最經常使用的操做系統，由於其擁有高性能、高擴展性、高安全性，受到了愈來愈多的運維人員追捧。可是針對Linux服務器操做系統的安全事件也很是多的。攻擊方式主要是弱口令攻擊、遠程溢出攻擊及其餘應用漏洞攻擊等。個人VPS在前幾天就遭受了一次被惡意利用掃描其餘主機SSH弱口令安全問題。如下是我針對這次攻擊事件，結合工做中Linux安全事件分析處理辦法，總結Linux安全應急響應過程當中的分析方法。

1、分析原則

• 重要數據先備份再分析，儘可能不要在原來的系統中分析；
• 已經被入侵的系統都再也不安全，若是條件容許最好採用第三方系統進行分析

2、分析目標

• 找到攻擊來源IP
• 找到入侵途徑
• 分析影響範圍
• 量化影響級別

3、數據備份採集

1.痕跡數據永遠是分析安全事件最重要的數據

在分析過程當中，痕跡數據永遠是最重要的數據資料。因此第一件事天然是備份相關痕跡數據。痕跡數據主要包含以下幾點：

• 系統日誌：message、secure、cron、mail等系統日誌；
• 應用程序日誌：Apache日誌、Nginx日誌、FTP日誌、MySQL等日誌；
• 自定義日誌：不少程序開發過程當中會自定義程序日誌，這些日誌也是很重要的數據，可以幫咱們分析入侵途徑等信息；
• bash_history：這是bash執行過程當中記錄的bash日誌信息，可以幫咱們查看bash執行了哪些命令。
• 其餘安全事件相關日誌記錄

分析這些日誌的時候必定要先備份，咱們能夠經過tar壓縮備份好，再進行分析，若是遇到日誌較大，能夠儘量經過splunk等海量日誌分析工具進行分析。如下是完整備份var/log路徑下全部文件的命令，其餘日誌能夠參照此命令：

#備份系統日誌及默認的httpd服務日誌
tar -cxvf logs.tar.gz /var/html

#備份last
last > last.log

#此時在線用戶
w > w.log

2.系統狀態

系統狀態主要是網絡、服務、端口、進程等狀態信息的備份工做：

#系統服務備份
chkconfig --list > services.log

#進程備份
ps -ef > ps.log

#監聽端口備份
netstat -utnpl > port-listen.log

#系統全部端口狀況
netstat -ano > port-all.log

3.查看系統、文件異常

主要針對文件的更改時間、屬組屬主信息問題，新增用戶等問題，其餘能夠類推：

#查看用戶信息：
cat /etc/passwd

#查找最近5天內更改的文件
find -type f -mtime -5

4.最後掃一下rootkit

Rootkit Hunter和chkrootkit均可以

4、分析方法

大膽猜想是最重要的，猜想入侵途徑，而後進行分析通常都會事半功倍。
通常來講，分析日誌能夠找到不少東西，好比，secure日誌能夠查看Accept關鍵字；last能夠查看登陸信息；bash_history能夠查看命令執行信息等，不一樣的日誌有不一樣的查看方式，最好是系統管理員的陪同下逐步排查，由於系統管理員才最懂他的服務器系統。此處不作太多贅述。

5、分析影響

根據服務器的用途、文件內容、機密狀況結合數據泄漏、丟失風險，對系統使用者影響等進行影響量化，並記錄相關安全事件，總結分析，以便後期總結。
若是已經被進行過內網滲透，還須要及時排查內網機器的安全風險，及時處理。

6、加固方法

已經被入侵的機器，能夠打上危險標籤，最直接最有效的辦法是重裝系統或者系統還原。因此常常性的備份操做是必不可少的，特別是源代碼和數據庫數據。
經過分析的入侵途徑，能夠進行進一步的加固處理，好比弱口令和應用漏洞等

引自： LINUX安全事件應急響應排查方法總結 http://www.3mc2.com/linux-security-response-methods.html