应急响应——Linux入侵排查

最新推荐文章于 2026-04-13 09:02:24 发布
原创 最新推荐文章于 2026-04-13 09:02:24 发布 · 9.6k 阅读 · 63
标签
#linux #运维

事件响应可以定义为每当发生计算机或网络安全事件时所采取的行动过程。作为事件响应者,您应该始终了解系统中应该出现和不应该出现的内容。
排查思路

(1)首先监测用户账号安全,比如新增的账号、可疑账号,重点查看可以远程登录的账号以及高权限账号。
(2)利用linux的history指令查看历史linux指令,uptime指令查看登录多久、多少用户。
(3)检查异常端口和进程,netstat检查异常端口,ps检查异常进程,可以观看资源占用的进程id来判断是否有挖矿木马等嫌疑。
(4)检查linux的启动项和系统的定时任务crontab,crontab -l查看是否有异常的任务编写进来。
(5)检查linux的日志信息/var/log/一些系统日志信息、安全日志等。
(6)自动化查杀软件,在线查杀工具,查杀脚本来查杀。

linux应急响应可按4个环节进行:

  • 识别现象——清除病毒——闭环兜底——系统加固 首先从服务器异常现象出发,根据服务器CPU、内存占用,网络流量,识别出病毒的可疑迹象
  • 然后通过进程、端口开放、历史命令、进出站流量、日志审计等定位到具体的病毒进程及病毒文件,进行清除
  • 因为病毒一般会通过一些自启动项及守护进程进行重复感染,所以我们要对攻击者账户、定时任务、恶意自启动服务、系统文件劫持、守护进程等进行排查,防止重复感染
  • 将主机上的病毒项清除干净后,最后对系统进行加固,分析日志,发现漏洞出现的具体位置,是未打补丁,未升级或弱密码,对漏洞进行针对性的处置,防止病毒从web再次入侵
    在这里插入图片描述

识别现象

通过系统运行状态、安全设备警告、监控系统发现主机上具有异常行为:异常流量、异常端口、CPU/内存占用率异常等等
针对不同的现象评估可能出现的问题:

  • SSH暴力破解:22端口上具有不明地址的连接,/var/log/secure中存在大量登录失败记录
  • 短链接:监控设备发现服务器不断向某地址发起请求,多次刷新端口、进程时发现短链接
  • 挖矿病毒:服务器持续向外部ip发送连接,下载病毒源;不规则的异常进程、异常下载
  • 盖茨病毒:CPU资源异常,异常进程占用大量网络带宽,异常IP连接、异常进程、异常启动项
  • DDOS病毒:服务器网络资源异常、带宽占用率高,影响网络业务使用

进程

连接到系统服务器后开始对现象进行调查,查看CPU、内存、进程、系统挂载等
#top命令降序查看cpu占用率

top

CPU占用率达到70%以上,且名字比较可疑的进程,可能就是病毒
在这里插入图片描述

枚举进程

ps -aux

病毒多携带可疑的命令行,当发现命令行中带有url或奇怪字符时,就要注意是否它是否是个病毒下载程序
在这里插入图片描述

定位某一进程

lsof -p <PID>

在这里插入图片描述

查看安全网关或监控系统
查看网关或监控系统中与目标ip通信的进程,并通过命令行列举出此进程

##列举网络Socket连接的进程
while true;do netstat -antp | grep <ip>; done

在这里插入图片描述

有时后检测到的是个域名,其对应的ip在不断变化,用上述方法过滤ip并不适用,可疑在hosts文件中将域名绑定为一个随机的ip,对其进行监控

最低0.47元/天 解锁文章
一次服务器中毒处理,服务器占用大量cpu,但是看不到相关进程
ddadasddjk的博客
08-23 1960
挖矿病毒处理(服务器占用大量cpu,但是没有进程) 1.执行top命令发现服务器负载过高,但是不显示具体进程占用资源。 2.通过netstat -anp发现可疑进程 3.查看/etc/ld.so.preload 4.删除/lib64/libstdc++.so 5.无法删除,可能添加i权限。查看并且取消i权限,还是无法删除。 6.查看lsattr和chattr命令,发现命令被修改。 7.从其他服务器拷贝lsattr和chattr替换被修...
Linux服务器入侵后的排查思路(应急响应思路)
人若有志,就不会在半坡停止。
11-12 3427
黑客在9月6日14:31:39——14:33:11对服务器进行爆破,且在 14:33:09成功爆破出root账户密码并且进行登录,登录之后在9月6日14:37:22 植入了 .shell.elf 后门(根据成功爆破出root账户的时间可知 9月5日18:00:06 为 .shell.elf后门的创建时间,并非植入时间)、在14:38:00 植入了 /.centos_core.elf 后门、在 14:43:31 植入了ps命令后门、在 14:48:08写了恶意定时任务,恶意IP为192.168.1.132。
ThinkPHP5漏洞实战:从复现到防御的完整指南(附靶场搭建)
最新发布
weixin_42522167的博客
04-13 172
本文详细解析了ThinkPHP5的典型安全漏洞,包括RCE和SQL注入漏洞的复现方法,并提供了靶场搭建的完整指南。通过实战演示和防御建议,帮助开发者和安全研究员深入理解漏洞机理,有效加固Web应用安全。文章还包含版本升级策略和WAF配置示例,全面提升系统防护能力。
应急响应-进程排查
懂进攻知防守
11-20 3578
进程是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。无论在Windows还是Linux中,主机在感染恶意程序后,恶意程序都会启动相应进程来完成恶意操作。
linux lsof命令_带有示例Linux Lsof命令教程
cunjiu9486的博客
10-09 461
linux lsof命令Lsof is linux command used for output files and processes related information. lsofsupport different type of file formats like regular file, directory, block special file etc. lsofprovid...
Linux如何查看网络/进程信息
weixin_42392831的博客
07-01 8364
1.查看网络连接数和端口 使用netstat命令:netstat -anp 参数解释: -a:显示所有选项 -t(tcp):仅显示tcp相关选项 -u(udp):仅显示udp相关选项 -n:拒绝显示别名,能显示数字的全部转化为数字 -p:显示建立相关链接的程序名 关键列解释: Proto:表示协议类型 LocalAddress:表示本地地址 ForeignAddress:表示对端地址 State:表示状态(对于TCP有效,UDP没有状态概念) PID/Program name:表示对应的进程id和进程名.
Linux入侵应急响应排查
cdyunaq的博客
08-08 3015
在数据泄漏方面,mysql或者其他数据库的日志就非常重要了,首先查看mysql配置文件配置了哪几种日志记录,如bin log,query log慢查询日志,慢查询日志要在超过特定阀值,才会触发。查看被入侵后,在系统上执行过哪些命令,使用root用户登录系统,检查/home目录下的用户主目录的.bash_history文件。默认情况下,系统可以保存1000条的历史命令,并不记录命令执行的时间,根据需要进行安全加固。查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以.为名的文件夹具有隐藏属性。...
网络安全——应急响应Linux入侵排查
提供C#相关开发 、云计算、运维测试、网络安全相关技术分享与服务,有意向可联系。
11-13 1579
本文主要介绍关于Linux系统被入侵后的应急响应工作流程和排查内容
【玄机】第一章 应急响应- Linux入侵排查
ywx05_的博客
02-27 2197
监听端口号(Listening Port)是网络通信中用于等待和接收传入连接请求的端口号。服务器或服务在特定端口上监听,以便与客户端建立连接。这种机制确保了网络应用程序能够接收和处理来自其他网络设备的请求。
系统入侵排查实战指南:从Windows到Linux应急响应与溯源分析​
2302_81945070的博客
06-11 1201
入侵排查是对抗的艺术,需将系统知识、威胁情报与攻击者思维结合。持续更新排查清单(CheatSheet),定期进行红蓝对抗演练,才能构筑真正的安全防线。保持警惕,快速响应,让每一次入侵都成为安全体系升级的契机。
浅析Linux系统入侵排查应急响应技术
道阻且长,行则将至
07-16 3793
文章目录前言系统分析用户信息排查进程端口排查系统服务排查日志分析SSH暴力破解Web应用日志病毒查杀总结 前言 当企业发生网络安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,同时还需进一步查找入侵来源,还原入侵事故过程,给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的网络安全事件: Web入侵:挂马、篡改、Webshell; 系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞; 病毒木马:远控、后门、勒索软件; 信息泄漏:拖裤、数据库登录(弱口令); 网络流量:
Linux应急响应排查
swordheart的博客
08-24 1280
1] 可疑进程名[2] 可疑域名/IP流量[3] 可疑定时任务[4] 可疑文件路径。
linux恶意IP溯源
weixin_45945976的博客
06-04 1058
尤其是/var/log/目录下的日志,如/var/log/syslog,/var/log/messages,/var/log/secure或特定服务的日志,例如Apache的/var/log/apache2/access.log(或对应您使用的web服务器日志),可以提供有用的信息。-antp选项的意思是列出所有(a)当前的网络连接,不限制网络协议(n),并显示监听状态的(t)TCP连接以及相关进程信息(p)。进行以上检查后,应该能够确认是否真的与指定的恶意IP有通信,并得到一些关于通信性质的。
42-2 应急响应之计划任务排查
weixin_43263566的博客
05-25 273
进程排查是指通过分析系统中正在运行的进程,以识别和处理恶意程序或异常行为。在Windows和Linux系统中,进程是操作系统的基本单位,因此对于发现和处理恶意软件或异常活动至关重要。恶意程序通常会以进程的形式在系统中运行,执行各种恶意操作,比如窃取信息、破坏数据或者占用系统资源。tasklist命令是Windows系统自带的命令行工具,用于显示当前系统中运行的进程列表及其相关信息。通过这些方法,你可以有效地进行Windows系统中的进程排查,并快速获取所需的进程信息,有助于识别和处理恶意进程
Linux上找到访问恶意域名的进程方法
weixin_46356409的博客
11-16 1383
请注意,这些步骤可能需要根据具体情况进行调整。在进行任何操作之前,请确保充分了解潜在的风险,并遵循最佳实践。如有必要,请寻求专业人士的帮助。如果您发现恶意进程,请立即采取措施隔离受影响的系统,并尽快修复问题。这可能包括关闭相关进程、更新防火墙规则、修复系统漏洞等。对系统进行完整的安全审计,以确保所有恶意活动都已被消除。找到与恶意IP地址相关的连接的进程ID(PID)。在上一步的输出中,您可以找到PID。这将显示与恶意IP地址相关的网络连接。这将显示与指定PID相关的进程信息。这将返回恶意域名的IP地址。
跟我学-域名解析故障排查技巧
阿里云云栖号
01-10 3881
天苍苍,野茫茫,网站一瘫,唯有泪两行!! 客户跳,老板叫,解析故障,心惊又肉跳!! 对企业网站来说,很怕出现网站打不开的情况,一旦发生,准会发现公司技术部呈现一片哀嚎景象。为了让运维的难兄难弟们做个精致的小白领,小编特别为你们总结了一套《域名解析故障排查技巧实操全网最全手册》,并分为“初阶版”“进阶版”,跟我学完保您在排查解析故障方面,脑回路神清晰,分分钟就能定位问题。为了助您减少客户不可用...
应急响应Linux 入侵排查
weixin_45997442的博客
04-25 1112
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
玄机靶场--第一章 应急响应- Linux入侵排查
2301_79469341的博客
01-30 1772
和上一次的webshell查杀一样,可以尝试搜索jsp、php、asp、aspx这几种特殊后缀文件,并尝试寻找其中的危险函数来查找webshell。剩下的没有扫出来的使用云沙箱等工具扫描,这里使用微步的云沙箱发现shell(1).elf文件,并且可以找到服务器ip以及端口。产生的,这段代码作用是判断传入的密码的MD5值是否正确,如果正确,则可以通过POST提交的参数cmd进行命令执行。在html目录下存在一个’shell(1).elf’文件,尝试执行,发现没有权限,直接给777权限,然后执行。
应急响应之Windows/Linux(入侵排查篇)
李同學AI安全
11-22 5374
0x01 应急响应介绍 当企业发生入侵事件、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 0x02 安全事件分级 I 级事件-特别重大突发事件 -> 网络大面积中断 -> 主要业务大规模瘫痪 -> 大规模用户/业务数据泄漏 II 级事件-重大突发事件 -> 大规模主机入侵 -> 大规模业务数据损坏 -> 小规模数据
玄机——第一章 应急响应- Linux入侵排查 wp
焦虑的焦虑
06-11 6070
第一章 应急响应- Linux入侵排查
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值