文章目录
- 前言
- 系统分析
-
- 用户信息排查
- 进程端口排查
- 系统服务排查
- 日志分析
-
- SSH暴力破解
- Web应用日志
- 应急工具
-
- GScan
- 病毒查杀
- 总结
前言
常见的 络安全事件:
- Web入侵:挂马、篡改、Webshell;
- 系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞;
- 病毒木马:远控、后门、勒索软件;
- 信息泄漏:拖裤、数据库登录(弱口令);
- 络流量:频繁发包、批量请求、DDOS攻击;
一个常规的入侵事件后的系统排查思路:
1、来看下与系统用户账户相关的文件格式:
可执行 命令可显示主机所有用户最近一次登录信息,可以看到除了 root 之外其他账户均为登录过(均为不可登录的账户):
相关命令执行效果如下:
进程端口排查
同样先来看看相关命令:
1、使用命令检查异常端口:
1、检查端口连接情况,查看到名为 kali-6666.elf 的异常连接,疑似外连木马:
| 文件位置 | 作用 |
|---|---|
| /etc/profile.d/ | /etc/profile.d/*.sh 是 bash 的全局配置文件,/etc/profile.d/ 下有许多 shell 脚本,可以在开机时启动 |
| /etc/init.d/ | 该目录内放的是各个服务的启动脚本,比如 sshd、httpd 等 |
| /etc/rc.local | 是的软连接,该脚本是在系统初始化级别脚本运行之后再执行的 |
| /etc/rc.d/rcX.d/ | rcX.d 是目录名,后面的X代表着每个运行级别,里面服务都是软连接,真正的目录是 /etc/init.d 下的脚本,可用 ls –l 查看软链接 |
核查部分启动项如下:
日志分析
Linux 系统日志检查:
- 日志默认存放位置:/var/log/;
- 必看日志:secure、history;
- 查看日志配置情况:more /etc/rsyslog.conf;
核心日志文件及其作用如下:
SSH暴力破解
Linux 记录了 SSH 日志信息的文件:
| Ubuntu | Centos |
|---|---|
| /var/log/auth.log | /var/log/secure |
这两个文件关于 SSH 的内容基本?致,记录了验证和授权方面的信息,只要涉及账 和密码的程序都会记录下来。下面以 Centos 系统的日志文件为例进行日志分析演示。
1、先来查看下该日志文件的后 15 行:
执行结果如下图所示:
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!