Linux安全事件应急响应排查方法总结

Linux安全事件应急响应排查方法总结

Linux是服务器操做系统中最经常使用的操做系统，由于其拥有高性能、高扩展性、高安全性，受到了愈来愈多的运维人员追捧。可是针对Linux服务器操做系统的安全事件也很是多的。攻击方式主要是弱口令攻击、远程溢出攻击及其余应用漏洞攻击等。个人VPS在前几天就遭受了一次被恶意利用扫描其余主机SSH弱口令安全问题。如下是我针对这次攻击事件，结合工做中Linux安全事件分析处理办法，总结Linux安全应急响应过程当中的分析方法。

1、分析原则

• 重要数据先备份再分析，尽可能不要在原来的系统中分析；
• 已经被入侵的系统都再也不安全，若是条件容许最好采用第三方系统进行分析

2、分析目标

• 找到攻击来源IP
• 找到入侵途径
• 分析影响范围
• 量化影响级别

3、数据备份采集

1.痕迹数据永远是分析安全事件最重要的数据

在分析过程当中，痕迹数据永远是最重要的数据资料。因此第一件事天然是备份相关痕迹数据。痕迹数据主要包含以下几点：

• 系统日志：message、secure、cron、mail等系统日志；
• 应用程序日志：Apache日志、Nginx日志、FTP日志、MySQL等日志；
• 自定义日志：不少程序开发过程当中会自定义程序日志，这些日志也是很重要的数据，可以帮咱们分析入侵途径等信息；
• bash_history：这是bash执行过程当中记录的bash日志信息，可以帮咱们查看bash执行了哪些命令。
• 其余安全事件相关日志记录

分析这些日志的时候必定要先备份，咱们能够经过tar压缩备份好，再进行分析，若是遇到日志较大，能够尽量经过splunk等海量日志分析工具进行分析。如下是完整备份var/log路径下全部文件的命令，其余日志能够参照此命令：

#备份系统日志及默认的httpd服务日志
tar -cxvf logs.tar.gz /var/html

#备份last
last > last.log

#此时在线用户
w > w.log

2.系统状态

系统状态主要是网络、服务、端口、进程等状态信息的备份工做：

#系统服务备份
chkconfig --list > services.log

#进程备份
ps -ef > ps.log

#监听端口备份
netstat -utnpl > port-listen.log

#系统全部端口状况
netstat -ano > port-all.log

3.查看系统、文件异常

主要针对文件的更改时间、属组属主信息问题，新增用户等问题，其余能够类推：

#查看用户信息：
cat /etc/passwd

#查找最近5天内更改的文件
find -type f -mtime -5

4.最后扫一下rootkit

Rootkit Hunter和chkrootkit均可以

4、分析方法

大胆猜想是最重要的，猜想入侵途径，而后进行分析通常都会事半功倍。
通常来讲，分析日志能够找到不少东西，好比，secure日志能够查看Accept关键字；last能够查看登陆信息；bash_history能够查看命令执行信息等，不一样的日志有不一样的查看方式，最好是系统管理员的陪同下逐步排查，由于系统管理员才最懂他的服务器系统。此处不作太多赘述。

5、分析影响

根据服务器的用途、文件内容、机密状况结合数据泄漏、丢失风险，对系统使用者影响等进行影响量化，并记录相关安全事件，总结分析，以便后期总结。
若是已经被进行过内网渗透，还须要及时排查内网机器的安全风险，及时处理。

6、加固方法

已经被入侵的机器，能够打上危险标签，最直接最有效的办法是重装系统或者系统还原。因此常常性的备份操做是必不可少的，特别是源代码和数据库数据。
经过分析的入侵途径，能够进行进一步的加固处理，好比弱口令和应用漏洞等

引自： LINUX安全事件应急响应排查方法总结 http://www.3mc2.com/linux-security-response-methods.html