【手册】Linux服务器应急排查实战指南
【手册】Linux服务器应急排查实战指南
- 引言
- 1. 排查思路
- 2. 常见网络安全攻击特征
- 3. Linux数据传输
- 4. 应急排查方法
- 4.1 账户/登录/权限信息排查
- 账户相关
- 权限相关
- 登录相关
- 4.2 进程以及网络连接排查
- 网络相关
- 进程相关
- 4.3 任务计划排查
- 4.4 自启动排查
- 检查 systemd服务
- 其他自启动文件/配置
- 检查内核模块
- 环境变量
- 4.5 文件排查
- 4.6 日志分析
- 日志文件
- 日志分析
- 5. 隐藏后门以及排查方法
- SSH Wrapper后门
- 端口复用
- 进程隐藏
- SUID Shell
- SSH公私钥免密登录
- 软连接
- strace后门
- openSSH后门
- PAM后门
- 6. 实用排查/杀毒工具
引言
在服务器运行过程中,网络安全攻击频发,常见威胁包括 挖矿病毒、蠕虫传播、DDoS 攻击、后门程序等。这些攻击不仅影响系统稳定性,还可能造成数据泄露或业务中断。对于系统运维和应急排查人员而言,如何在最短时间内识别攻击迹象、精准定位问题来源,并迅速采取应对措施,是一项至关重要的技能。
1. 排查思路
1)了解清楚事件发生时间点、事件有什么特征、服务器的用途、服务器上部署的应用组件、已做过那些应急措施,禁忌上来就一顿操作;
2)大概思考下能沾边的网络攻击特征,同时根据服务器版本以及服务器上部署的组件看看近期是否有nday漏洞,有时匹配上了可以节约一大部分时间;
3)根据已部署的安全设备,快速看看异常事件以及已攻击成功的事件;
4)上机排查,使用busybox套装防止发生预期以外的情况,使用磁盘备份(dd)进行整个备份,或手工备份日志以及一些易被覆盖的系统文件,如:.viminfo、history,使用LiME(Linux Memory Extractor)备份服务器内存,或者使用手工追加将进程、网络连接状态等进行备份,(虚拟化/云环境可直接拍摄快照&#