服务器安全事件应急响应排查方法

针对服务器操作系统的安全事件也非常多的。攻击方式主要是弱口令攻击、远程溢出攻击及其他应用漏洞攻击等。分析安全事件,找到入侵源,修复漏洞,总结经验,避免再次出现安全事件,以下是参考网络上文章,总结的安全应急响应过程中的分析方法。

服务器安全事件应急响应排查方法

一、分析原则
1.重要数据先备份再分析,尽量不要在原来的系统中分析;
2.已经被入侵的系统都不再安全,如果条件允许最好采用第三方系统进行分析;

二、分析目标
1.找到攻击来源IP(可以从SSH登陆记录,如有使用第三方平台,看从第三方平台SSH登陆记录中获取)
2.找到入侵途径(可以使用攻击IP,在WEB日志中进行反查,确定攻击IP做了哪些请求)
3.分析影响范围(分析攻击IP做了什么操作,影响数据范围)
4.量化影响级别(根据分析情况,量化影响级别)
5.判断业务影响级别(根据分析情况,量化业务影响级别,比如数据是否被篡改,如未被篡改,使用数据快速恢复目前业务,如已被篡改,使用之前备份数据快速恢复业务,如事前有预案,可先按预案恢复业务,比如使用有备用服务器恢复业务)

三、数据备份采集
痕迹数据永远是分析安全事件最重要的数据,在分析过程中,痕迹数据永远是最重要的数据资料。所以第一件事自然是备份相关痕迹数据。痕迹数据主要包含如下几点:
1.系统日志:message、secure、cron、mail等系统日志;
2.应用程序日志:Apache日志、Nginx日志、FTP日志、MySQL等日志;
3.自定义日志:很多程序开发过程中会自定义程序日志,这些日志也是很重要的数据,能够帮我们分析入侵途径等信息;
4.bash_history:这是bash执行过程中记录的bash日志信息,能够帮我们查看bash执行了哪些命令;
5.其他安全事件相关日志记录;
分析这些日志的时候一定要先备份,我们可以通过tar压缩备份好,再进行分析,如果遇到日志较大,可以尽可能通过海量日志分析工具进行分析。以下是完整备份/var/log路径下所有文件的命令,其他日志可以参照此命令:

复制代码代码如下:
#备份系统日志及默认的httpd服务日志
tar -cxvf logs.tar.gz /var/html
#备份last
last > last.log
#在线用户
w > w.log
#历史命令记录
history > history.log

2.系统状态
系统状态主要是网络、服务、端口、进程等状态信息的备份工作:
复制代码代码如下:
#系统服务备份
chkconfig –list > services.log
#进程备份
ps -ef > ps.log
#监听端口备份
netstat -utnpl > port-listen.log
#系统所有端口情况
netstat -ano > port-all.log

3.查看系统、文件异常
主要针对文件的更改时间、属组属主信息问题,新增用户等问题,其他可以类推:
复制代码代码如下:
#查看用户信息:
cat /etc/passwd
#查找最近5天内更改的文件
find -type f -mtime -5
4.最后可使用第三方扫描工具一下rootkit
Rootkit Hunter和chkrootkit都可以

四、分析方法
大胆猜测是最重要的,猜测入侵途径,然后进行分析一般都会事半功倍。
一般来说,分析日志可以找到很多东西,比如,secure日志可以查看Accept关键字;last可以查看登录信息;bash_history可以查看命令执行信息等,不同的日志有不同的查看方式,最好是系统管理员的陪同下逐步排查,因为系统管理员才最懂他的服务器系统。

五、分析影响
根据服务器的用途、文件内容、机密情况结合数据泄漏、丢失风险,对系统使用者影响等进行影响量化,并记录相关安全事件,总结分析,以便后期总结。
如果已经被进行过内网渗透,还需要及时排查内网机器的安全风险,及时处理。

六、加固方法
已经被入侵的机器,可以打上危险标签,最直接最有效的办法是迁移上面业务服务,重装系统或者系统还原。所以经常性的备份操作是必不可少的,特别是源代码和数据库数据,提前做好应急预案,避免长时间影响线上业务。
通过分析的入侵途径,可以进行进一步的加固处理,比如弱口令和应用漏洞等。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/784972.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

初识编译和链接(C语言)

文章目录 编译和链接翻译环境预处理编译汇编链接 运行环境 编译和链接 编译和链接这两个大的过程构成了翻译环境。 其实,在ANSI C的任何一种实现中,存在两个不同的环境。 一个环境是翻译环境,另一个是执行环境。 翻译环境中,源…

【软件工程】详细设计(一)

1. 引言 1.1 编写目的 该文档的目的是描述《学生成绩管理系统》项目的详细设计,其主要内容包括: 系统功能简介 系统详细设计简述 各个模块的实现逻辑 最小模块组件的伪代码 本文档的预期的读者是: 开发人员 项目管理人员 测试人员 …

基于单片机汽车超声波防盗系统设计

**单片机设计介绍,基于单片机汽车超声波防盗系统设计 文章目录 一 概要二、功能设计设计思路 三、 软件设计原理图 五、 程序六、 文章目录 一 概要 基于单片机汽车超声波防盗系统设计概要主要涉及利用超声波传感器和单片机技术来实现汽车的安全防盗功能。以下是对…

八股 -- C#

面向对象 (三大特性) 三大特性目的是为了提供更好的代码组织、可维护性、扩展性和重用性 C#基础——面向对象 - 知乎 (zhihu.com) 封装 理解: 你不需要了解这个方法里面写了什么代码,你只需要了解这个方法能够给你返回什么数据&…

位运算 ----力扣2220

2220. 转换数字的最少位翻转次数 提示 一次 位翻转 定义为将数字 x 二进制中的一个位进行 翻转 操作,即将 0 变成 1 ,或者将 1 变成 0 。 比方说,x 7 ,二进制表示为 111 ,我们可以选择任意一个位(包含没有…

书生·浦语大模型-第一节课笔记

视频总结 23年发布的模型在一些材料中归位指令微调模型,后面逐渐升级应该已经是train的模型了 技术报告总结 InternLM2 Technical Report 评测与特点 6 dimensions and 30 benchmarks, long-context modeling, and open-ended subjective evaluations长文本…

猜数游戏(Python)

一、实验要求: (1)在游戏开始时,随机生成一个1~100之间的整数。 (2)在游戏中,玩家有10次机会猜数。如果10次都没有猜中,则游戏失败;否则,游戏成功。 &…

centos7.5安装gitlab-runner,配置CI/CD流水线

一般不建议gitlab-server和gitlab-runner装在同一台服务器 第一步:安装gitlab-runner,最好和gitlab实例版本一致 # 下载官方gitlab-runner安装脚本 curl -L "https://packages.gitlab.com/install/repositories/runner/gitlab-runner/script.rpm.sh" | s…

成为一名自由程序员

越来越多的程序员已经或希望加入到自由职业者的行列,你是否也是其中的一员呢?在这篇文章里我将尝试结合自身的一些经验,来告诉你成为自由程序员能够获得的那些益处,以及为了取得成功所需要面临的挑战。 自由程序员的类型 很多人把…

项目开发---用户登录发送短信实现(使用阿里云短信接口)(看这篇就够了)

目录: 使用阿里云开通短信服务教程编写代码 使用阿里云开通短信服务教程 阿里云官网👉https://cn.aliyun.com/ 完成登录 进入短信服务 开通短信服务 购买短信条数 购买完成进入阿里云短信控制台https://dysms.console.aliyun.com/overview 开通个…

Taskflow应用:波前并行(Wavefront Parallelism)

2D的Wavefront如下图所示&#xff1a; #include <taskflow/taskflow.hpp>std::mutex cout_mutex; void format_str(std::string const& str) {std::lock_guard<std::mutex> lock(cout_mutex); std::cout << str << std::endl; }std::string crea…

《自动机理论、语言和计算导论》阅读笔记:p68-p114

《自动机理论、语言和计算导论》学习第4天&#xff0c;p68-p114总结&#xff0c;总计47页。 一、技术总结 1.inverted indexes 明白单词的意思是“反转的索引”&#xff0c;但是不明白其在书中具体指什么&#xff0c;去查询资料的话需要花很不多时间&#xff0c;先继续往下看…

关于使用vscode搭建c/c++编程环境

目录 关于使用vscode搭建c/c编程环境一、前言二、安装 IDE 二、安装TDM-GCC安装三、安装C/C环境四、编写代码并进行编译 关于使用vscode搭建c/c编程环境 一、前言 一直觉得vscode是生产强有力的生产工具&#xff0c;基于此&#xff0c;做一篇学习笔记进行记录。 二、安装 ID…

服务器停止解析域名,但仍然可以访问到

1.centos7 如何刷新dns缓存 在CentOS 7上&#xff0c;DNS缓存由nscd&#xff08;Name Service Cache Daemon&#xff09;管理&#xff0c;如果系统上安装了nscd&#xff0c;可以通过清除nscd缓存来刷新DNS缓存。 要刷新DNS缓存&#xff0c;请执行以下命令&#xff1a; sudo …

IPD推行成功的核心要素(一)什么企业需要和适合IPD?

IPD&#xff0c;全称为“Integrated Project Delivery”&#xff0c;即集成产品开发。它是一种全新的项目管理方法&#xff0c;目前已经应用到了各行各业的项目管理中。IPD是一种以协同合作为核心的工作模式&#xff0c;在这种模式下&#xff0c;项目中的所有相关方在项目的整个…

如何使用免费的ChatGpt3.5

如何使用免费的ChatGpt 最近免费的gpt3.5很多都不怎么行了实在是太给力了尾声 最近免费的gpt3.5很多都不怎么行了 原因是什么呢&#xff1f;因为openai已经取消了免费的5刀赠送&#xff0c;那么这些人手上的免费的sses-key 用完后&#xff0c;就基本上全军覆没了&#xff0c;再…

校园招聘管理系统(源码+文档)

校园招聘管理系统&#xff08;小程序、ios、安卓都可部署&#xff09; 文件包含内容程序简要说明含有功能项目截图客户端热门岗位校园招聘首页个人简历添加个人简历我的界面注册界面查看个人简历界面个人资料界面登录界面消息界面退出登录 管理端登录界面![请添加图片描述](htt…

Python保留字与obspy安装

保留字&#xff1a; 被编程语言内部定义并保留使用的标识符。Python有33个保留字 andelifimportraiseglobalaselseinreturnnonlocalassertexceptistryTrue breakfinallylambdawhileFalseclassfornotwithNonecontinuefromoryielddefifpassdel 最近在安装obspy时经常&am…

预处理指令——那些你可能不知道的概念

前言&#xff1a;预处理是我们的c语言源代码成为可执行程序的第一个步骤。而宏和预处理指令都是在这个阶段完成。本节内容就是关于宏和预处理指令相关知识点的解析。 目录 宏 预定义符号 #define定义常量 #define定义符号 #define定义宏 带副作用的宏参数 宏的替换规则…

给虚拟机配置静态IP并使用FileZIlla在虚拟机和Windows之间传输文件(ssh和ftp两种方法)

一、配置操作系统网络 &#x1f338;下面的步骤主要是配置虚拟机的静态IP&#xff0c;方便后续用 FikeZilla 在windows和虚拟机之间传输文件&#xff08;否则用默认的ip分配方案为 DHCP ,每一次开机时的ip都是有可能不同的,这样就会导致每次远程连接都需要查看ip地址.&#xf…