Linux入侵排查思路及加固总结

排查点:

    1、先登录服务器、检查陌生用户

    2、检查crontab -l、rc.loacl,经常启动加载的位置

    3、iftop查看可疑外部数据流

    4、分析受损内容,分析日志痕迹

    5、检查异常进程(难)

可疑进程的具体分析:

1、一般top 就可以发现可疑进程,比如进程名是system

2、使用iftop,查到流量最高目标IP

3、netstat -anp | grep ip   使用这条命令就可以看到进程id, 然后根据进程id找进程名

4、知道进程id后, 可以使用lsof -p 进程id   查看这个进程打开了哪些文件

搜索修改的文件:

1、一般情况下,木马程序都会在/etc目录下,写入开机启动,或者定时任务,或者写入/etc/init.d

所以先查下/etc目录

find /etc -type f |xargs grep "进程名"

2、如果进程名中有路径,就打开这个路径的脚本,看下脚本做了哪些动作

3、查找整个系统一天内修改的文件

/tmp/find1_day.txt   这个文件可能查出来的东西比较多, 可以适当的过滤一些目录,比如/proc目录,比如/sys目录

find / -type f -ctime -1 > /tmp/find1_day.txt  
cat /tmp/find1_day.txt |grep -v "/proc"  |grep -v "/sys"

4、分析其它日志

last

history

/var/log/secure

/etc/passwd    看下这个文件有没有修改

5、看一下对外的端口, 现在几乎所有的入侵,都是通过对外端口进入的,然后根据端口去分析可能被黑的进程

netstat -nutlp

对于服务器的加固思路:


更改服务默认开放端口

设置高强度的服务密码,可借助专业的密码生成工具

清除多余的系统虚拟账号,服务启动用户设置为/sbin/nologin

对服务器高风险命令使用chattr锁定系统文件

对服务器配置ping拒绝策略

禁用除必须对外开放的服务启动开放

引入ClamAV的病毒扫描机制

对服务器可以引入OSSEC或者对服务器关键区域进行md5的值监控,一旦被修改,及时触发警报

防火墙限定指定信任源IP进行访问,尽可能降低服务直接对外网进行访问,前端可以通过反向代理的方式进行管理

对运行服务本身进行安全性加固,如web服务引入waf防火墙

!!!以上只是片面的安全性加固思路,实际需要根据业务场景进行配置加固,方法也并不唯一,但是作为一名合格的运维,一定是7*24服务无宕机,数据无泄漏这才是根本

原文地址:http://blog.51cto.com/swiki/2085037

时间: 2024-10-07 20:45:47

Linux入侵排查思路及加固总结的相关文章

Linux应急响应入侵排查思路

0x00 前言 ? 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路. 0x01 入侵排查思路 一.账号安全 基本使用: 1.用户信息文件/etc/passwdroot:x:0:0:root:/root:/bin/bash

windows入侵排查思路

0x00 前言 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 常见的应急响应事件分类: web入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS攻击.DNS劫持.ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排

windows应急响应入侵排查思路

0x00 前言 ? 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 常见的应急响应事件分类: web入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS攻击.DNS劫持.ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入

【应急响应】windows入侵排查思路

海峡信息白帽子id:Bypass 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 0×00 前言 常见的应急响应事件分类: web入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS攻击.DNS劫持.ARP欺骗 海峡信息白帽子id:Bypass 针对常见的攻击事件,结合工

Linux 系统故障排查思路简析

处理linux系统故障的思路:    1.重视错误提示信息.    2.查阅日志文件 .message (系统日志) 服务的日志 error(应用日志)    3.分析,定位问题.    4.解决问题.    忘记root密码?        重置:centos5或者6    启动加载grub引导菜单时 按esc 找到当前系统引导选项.        按方向键找到需要的系统引导内核,按 "e" 进入编辑状态.        然后通过方向键选中带有kernel指令的行 继续按"

linux开机获取不到IP排查思路

最近发现linux主机重启老是获取不到IP,每次都要手动dhclient eth0一下,很麻烦. 想了下,可能有问题 于是乎,就有这个排查思路: 1.查看开机时是否将网卡连接上来: 2.在虚拟机内使用命令查看,是否开机启动network服务,主要看3,5两个级别,最好开启: 3. 另外还需要看下网卡配置文件,是否配置正确,主要看 ONBOOT:开机启动网卡.这一项要是yes BOOTPROTO:网络分配方式,静态,这里需要小写,例如dhcp(dhcp自动获取),static(以静态IP方式存在)

51CTO学习笔记--Linux运维故障排查思路与系统调优技巧视频课程(高俊峰)

51CTO学习笔记--Linux运维故障排查思路与系统调优技巧视频课程 第一课 Linux运维经验分享与思路 1.一般把主机名,写到hosts下    127.0.0.1    hostname,因为很多应用要解析到本地.oracle没有这个解析可能启动不了. 2.注释掉UUID以及MAC地址,需要绑定网卡的时候,这个可能会有影响. 3.磁盘满了无法启动,  var下木有空间,无法创创建PID等文件,导致文件无法启动,按e   进入single  然后b  重启进入单用户模式. 4.ssh登陆系

linux运维系统故障排查思路及常见故障处理

一 linux系统故障的一般处理思路 报错信息--->查阅日志文件--->分析定位问题--->解决问题. 二 linux系统无法启动原因及解决 系统无法启动的原因很多,常见的有下面几种情况: 1 文件系统被破坏,常常因断电和非法关机引起文件系统结构不一致.修复方法是用fsck命名强制修复,进入单用户模式或者交互界面,按提示进入修改模式中,卸载对应的问题磁盘,然后用fsck命令修复,无法恢复的数据会存放在lost+found下.umount /dev/sda3    fsck.ext4 -

Linux系统之运行状态分析及问题排查思路

〇.一件事儿 以下分析是站在Java工程师的角度来分析的. 一.CPU分析 分析CPU的繁忙程度,两个指标:系统负载和CPU利用率 1.系统负载分析 系统负载:在Linux系统中表示,一段时间内正在执行进程数和CPU运行队列中就绪等待进程数,以及非常重要的休眠但不可中断的进程数的平均值(具体load值的计算方式,有兴趣可以自行深究,这里不深究).说白了就是,系统负载与R(Linux系统之进程状态)和D(Linux系统之进程状态)状态的进程有关,这两个状态的进程越多,负载越高. 查看系统负载,见t