1、準(zhǔn)備工作

盡可能物理接觸到可疑的系統(tǒng)，防止黑客遠(yuǎn)程竊聽你在檢測(cè) 硬盤做實(shí)體備份，如有需要，斷開所有與可以機(jī)器的網(wǎng)絡(luò)連接 需要一臺(tái)電腦專門對(duì)檢查過程進(jìn)行入侵檢測(cè)結(jié)果的記錄 找到維護(hù)此服務(wù)器的人員來(lái)配合你

2、步驟

?檢測(cè)項(xiàng)1：常用程序是否被替換 ? ? ? ?

通常被替換的程序有l(wèi)ogin、ls、ps、ifconfig、du、find、netstat ? ? ? ?

執(zhí)行相關(guān)程序參數(shù)，查看是否被替換 ? ? ? ? ? ?

ls -alh ? ? ? ? ? ?

netstat -anp ? ? ? ?

檢查md5sum和文件大小 ? ? ? ? ? ?

md5sum /bin/netstat ? ? ? ? ? ?

【注】linux prelink預(yù)鏈接會(huì)對(duì)md5sum的值產(chǎn)生影響，建議禁用預(yù)鏈接 ? ? ? ?

上傳chkrootkit和rkhunter兩個(gè)工具，檢查是否有rootkit ? ? ? ?

使用開源防病毒引擎clamav antivirus檢查bin ? ? ? ? ? ?

freshclam ? ? ? ? ? ?

clamscan -r PATH ? ?

檢測(cè)項(xiàng)2：查看隱藏目錄和文件 ? ? ? ?

find / -name '...' ? ? ? ?

find / -name '..' ? ? ? ?

find / -name '.' ? ? ? ?

find / -name ' ' ? ?

檢測(cè)項(xiàng)3：檢測(cè)近期系統(tǒng)登錄 ? ? ? ?

last命令 ? ?

檢測(cè)項(xiàng)4：檢測(cè)系統(tǒng)用戶 ? ? ? ?

less /etc/passwd 查看是否有新增用戶 ? ? ? ?

grep ': 0' /etc/passwd 查看是否有特權(quán)用戶 ? ? ? ?

stat /etc/passwd 查看passwd最后修改時(shí)間 ? ? ? ?

awk-F: 'length($2)**0 print{$1}' /etc/shadow 查看是否存在空口令用戶 ? ?

檢測(cè)項(xiàng)5：查看進(jìn)程 ? ? ? ?

ps -aux 查看有無(wú)以./xxx開頭的進(jìn)程，使用kil -9 pid 殺死該進(jìn)程，再運(yùn)行ps -aux，若此類進(jìn)程又出現(xiàn)了，則證明系統(tǒng)被放置了自動(dòng)啟動(dòng)腳本，故使用find / -name 進(jìn)程名 -print ? ? ? ?

lsof -p pid 查看進(jìn)程所打開的端口及文件 ? ? ? ?

檢查隱藏進(jìn)程 ? ? ? ? ? ?

ps -ef | awk 'print($2)' | sort -n | uniq >1 ? ? ? ? ? ?

ls /proc | sort -n | uniq>2 ? ? ? ? ? ?

diff 1 2 ? ?

檢查項(xiàng)6：檢查網(wǎng)絡(luò)連接和監(jiān)聽端口 ? ? ? ?

ip link |grep PROMISC 檢查是否可能存在嗅探 ? ? ? ?

netstat -lntp 查看監(jiān)聽端口 ? ? ? ?

nestat -antp 查看所有已建立的外部鏈接，注意本機(jī)主動(dòng)連接到外部地址的連接，可能意味著反彈shell ? ? ? ?

arp -an 查看arp記錄是否正常 ? ?

檢查項(xiàng)7：計(jì)劃任務(wù) ? ? ? ?

crontab -u root -l 查看root用戶的計(jì)劃任務(wù) ? ? ? ?

cat /etc/crontab 查看是否有異常條目 ? ? ? ?

ls /var/spool/corn 查看是否有異常條目 ? ? ? ?

ls -l /etc/cron.* 查看cron詳細(xì)文件變化 ? ?

檢查項(xiàng)8：開機(jī)啟動(dòng)項(xiàng) ? ? ? ?

查看 /etc/rc.local文件的內(nèi)容 ? ? ? ?

systemctl 或 chkconfig檢查開機(jī)啟動(dòng)項(xiàng) ? ?

檢查項(xiàng)9：日志中的異常 ? ? ? ?

建議先做好日志備份 ? ? ? ?

日志類型 ? ? ? ? ? ?

系統(tǒng)：message、secure、cron、mail等 ? ? ? ? ? ?

應(yīng)用程序：Apache、Nginx、FTP、Mysql、Oracle等 ? ? ? ? ? ?

程序開發(fā)日志 ? ? ? ? ? ?

bash_history ? ? ? ? ? ?

其他安全事件日志 ? ? ? ?

分析異常 ? ? ? ? ? ?

用戶在非正常時(shí)間登陸 ? ? ? ? ? ?

殘缺的日志文件 ? ? ? ? ? ?

登陸系統(tǒng)的ip和以往不同 ? ? ? ? ? ?

失敗的日志記錄 ? ? ? ? ? ?

非法使用或不正當(dāng)使用su命令 ? ? ? ? ? ?

非法或無(wú)故重啟網(wǎng)絡(luò)服務(wù)內(nèi)容 ? ?

檢測(cè)項(xiàng)10：webshell檢測(cè) ? ? ? ?

檢查web目錄 ? ? ? ?

使用D盾或者LMD、安全狗等工具

3、檢測(cè)注意項(xiàng)

若此機(jī)器的業(yè)務(wù)很重要，無(wú)法切斷網(wǎng)絡(luò)連接，則一定要備份所有重要的資料?

若此機(jī)器的業(yè)務(wù)不重要，建議切斷網(wǎng)絡(luò)做物理隔離，將硬盤進(jìn)行外置存儲(chǔ)，可使用包括dd等工具?

嘗試找到黑客活動(dòng)的證據(jù) ? ?

取證工具尋找攻擊者使用過的文件 ? ?

查找是否有遠(yuǎn)控或后門 ? ?

修復(fù)攻擊者利用的漏洞

4、修復(fù)

用原始工具重新安裝系統(tǒng)，并安裝所有補(bǔ)丁?

對(duì)web服務(wù)器按照安全標(biāo)準(zhǔn)配置目錄權(quán)限和配置文件?

改變所有系統(tǒng)相關(guān)賬號(hào)（包括數(shù)據(jù)庫(kù)連接字符串）的密碼?

嘗試檢查、恢復(fù)被攻擊者篡改的文件

5、出具檢測(cè)報(bào)告

包含 ? ?

檢測(cè)概要步驟 ? ?

初步檢測(cè)結(jié)果 ? ?

XX地方可能出現(xiàn)了問題 ? ?

入侵事件對(duì)業(yè)務(wù)的影響 ? ?

改進(jìn)建議

6、防止服務(wù)器被入侵

在計(jì)算機(jī)安全技術(shù)上，我們可以從4個(gè)方面來(lái)著手分析服務(wù)器存在的風(fēng)險(xiǎn)，以及防范措施。

1、物理環(huán)境安全

物理環(huán)境就是指我們服務(wù)器存放的位置，我們需要分析它是否存在如下風(fēng)險(xiǎn)：

如果是自有服務(wù)器，你必須要有相對(duì)隔離的專用空間，并配上門禁和視頻監(jiān)控控制出入。因?yàn)槿绻?wù)器人人都可以觸碰到它，那它沒有任何安全可言。因?yàn)橹灰锢砩峡梢越佑|到，那就有可能會(huì)被惡意的人盜走服務(wù)器，然后在慢慢破解服務(wù)器，獲取服務(wù)器的信息。如果服務(wù)器是托管，你必須要求托管方有上面提到的門禁、視頻監(jiān)控等。不過，一般都會(huì)有。如果是云服務(wù)器，也就是虛擬機(jī)，那你要求云服務(wù)商的物理服務(wù)器必須在國(guó)內(nèi)，同樣有上面提到的基本物理安全。

2、通訊網(wǎng)絡(luò)安全

通訊網(wǎng)絡(luò)就是服務(wù)器需要對(duì)外提供服務(wù)使用的網(wǎng)絡(luò)系統(tǒng)。這一塊是我們比較熟悉的。我們需要做如下措施來(lái)保障安全：

出口必須有防火墻，（有條件用雙機(jī)）通過防火墻的的規(guī)則，可以屏蔽不需要開放的端口。使得黑客們的攻擊面變窄。服務(wù)器和桌面終端不能在同一個(gè)區(qū)域，至少需要?jiǎng)澐諺LAN隔離。對(duì)外服務(wù)的訪問盡量采用加密訪問，比如：web服務(wù)就盡量采用HTTPS來(lái)提供；有分支結(jié)構(gòu)訪問的，采用加密IPsec VPN或者SSL VPN來(lái)訪問。服務(wù)器本身需要有 TPM 芯片（現(xiàn)在一般都有），該芯片是可信計(jì)算模塊，可以幫助我們的服務(wù)器對(duì)內(nèi)部的計(jì)算信息進(jìn)行加密。確保不會(huì)在計(jì)算過程中因?yàn)樾畔⒈桓`取而出現(xiàn)安全問題。

3、區(qū)域邊界安全

不同的區(qū)域之間雖然有前面提到的VLAN隔離，但是我們還需要部署防火墻系統(tǒng)，讓低安全等級(jí)的區(qū)域不能隨意進(jìn)入高安全等級(jí)區(qū)域。出口的邊界區(qū)域，除了前面提到需要出口防火墻外，還可以配備入侵防御系統(tǒng)IPS、來(lái)防范攻擊。因?yàn)榉阑饓χ皇鞘照斯裘?。相?dāng)于只是一個(gè)小區(qū)保安幫忙過濾了一下進(jìn)出人員。但無(wú)法防范偽冒正常流量的攻擊。所以需要配備IPS，來(lái)對(duì)入侵進(jìn)行防御。服務(wù)器必須配備防病毒系統(tǒng)。如果服務(wù)器眾多，可以配備防病毒網(wǎng)關(guān)。服務(wù)器就1-2臺(tái)，那就在服務(wù)器上安全企業(yè)殺毒軟件，防止病毒入侵。

4、計(jì)算安全

系統(tǒng)要加固，也就是操作系統(tǒng)要及時(shí)打補(bǔ)丁，尤其是安全補(bǔ)丁。如果服務(wù)器眾多，可以考慮上服務(wù)器加固系統(tǒng)。身份安全：也就是服務(wù)器的密碼必須復(fù)雜口令、并且定時(shí)更換。有條件的可以采用動(dòng)態(tài)密碼和靜態(tài)密碼結(jié)合的雙因子認(rèn)證。定期要進(jìn)行漏洞掃描，防止服務(wù)器在使用過程中出現(xiàn)漏洞。一旦掃描發(fā)現(xiàn)漏洞，需要立即進(jìn)行修復(fù)。服務(wù)器日志要集中收集，運(yùn)維人員定時(shí)分析日志。發(fā)現(xiàn)異常入侵行為日志，應(yīng)該立即預(yù)警，并作出防御行動(dòng)。最后，為了防止內(nèi)部人員惡意入侵，我們還需要一套堡壘機(jī)，通過堡壘機(jī)來(lái)控制所有的運(yùn)維人員對(duì)服務(wù)器的操作。確保其權(quán)限始終，并且操作行為可被追蹤。

7、排查步驟實(shí)例

7.1、入侵者可能會(huì)刪除機(jī)器的日志信息，可以查看日志信息是否還存在或者是否被清空，相關(guān)命令示例:

[root@hlmcen69n3 ~]# ll -h /var/log/*?

-rw-------. 1 root root 2.6K Jul ?7 18:31 /var/log/anaconda.ifcfg.log?

-rw-------. 1 root root ?23K Jul ?7 18:31 /var/log/anaconda.log?

-rw-------. 1 root root ?26K Jul ?7 18:31 /var/log/anaconda.program.log?

-rw-------. 1 root root ?63K Jul ?7 18:31 /var/log/anaconda.storage.log [root@hlmcen69n3 ~]# du -sh /var/log/*?

8.0K /var/log/anaconda?

4.0K /var/log/anaconda.ifcfg.log?

24K ?/var/log/anaconda.log?

28K ?/var/log/anaconda.program.log?

64K ?/var/log/anaconda.storage.log

7.2、入侵者可能創(chuàng)建一個(gè)新的存放用戶名及密碼文件，可以查看/etc/passwd及/etc/shadow文件，相關(guān)命令示例:

[root@hlmcen69n3 ~]# ll /etc/pass*?

-rw-r--r--. 1 root root 1373 Sep 15 11:36 /etc/passwd?

?-rw-r--r--. 1 root root 1373 Sep 15 11:36 /etc/passwd-?

[root@hlmcen69n3 ~]# ll /etc/sha*?

----------. 1 root root 816 Sep 15 11:36 /etc/shadow?

----------. 1 root root 718 Sep 15 11:36 /etc/shadow-

7.3、入侵者可能修改用戶名及密碼文件，可以查看/etc/passwd及/etc/shadow文件內(nèi)容進(jìn)行鑒別，相關(guān)命令示例:

[root@hlmcen69n3 ~]# more /etc/passwd root:x:0:0:

root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin?

[root@hlmcen69n3 ~]# more /etc/shadow?

root:*LOCK*:14600::::::?

bin:*:17246:0:99999:7:::?

daemon:*:17246:0:99999:7:::

7.4、查看機(jī)器最近成功登錄的事件和最后一次不成功的登錄事件，對(duì)應(yīng)日志"/var/og/lastlog",相關(guān)命令示例:

[root@hlmcen69n3 ~]# lastlog?

Username ? ? ? ? Port ? ? From ? ? ? ? ? ? Latest?

root ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? **Never logged in**?

bin ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?**Never logged in**?

daemon ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? **Never logged in**

7.5、查看機(jī)器當(dāng)前登錄的全部用戶，對(duì)應(yīng)日志文件"/var/run/utmp",相關(guān)命令示例:

[root@hlmcen69n3 ~]# who?

stone ? ?pts/0 ? ? ? ?2017-09-20 16:17 (X.X.X.X)?

test01 ? pts/2 ? ? ? ?2017-09-20 16:47 (X.X.X.X)

7.6、查看機(jī)器創(chuàng)建以來(lái)登錄過的用戶，對(duì)應(yīng)日志文件"/var/log/wtmp",相關(guān)命令示例:

[root@hlmcen69n3 ~]# last?

test01 ? pts/1 ? ? ? ?X.X.X.X ? Wed Sep 20 16:50 ? still logged in ? test01 ? pts/2 ? ? ? ?X.X.X.X ? Wed Sep 20 16:47 - 16:49 ?(00:02) ??

?stone ? ?pts/1 ? ? ? ?X.X.X.X ? Wed Sep 20 16:46 - 16:47 ?(00:01) ??

?stone ? ?pts/0 ? ? ? ?X.X.X.X ? Wed Sep 20 16:17 ? still logged in

7.7、查看機(jī)器所有用戶的連接時(shí)間(小時(shí)),對(duì)應(yīng)文件日志"/var/log/wtmp",相關(guān)命令示例:

[root@hlmcen69n3 ~]# ac -dp ? ? ? ??

stone ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 11.98?

Sep 15 ? ? ?total ? ? ? 11.98 ? ? ? ? stone ? ? ? ? ? ? ? ? ? ? ? ? 67.06?

Sep 18 ? ? ?total ? ? ? 67.06 ? ? ? ? stone ? ? ? ? ? ? ? ? ? ? ? ? 1.27 ? test01 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0.24 Today ? ? ? ?total ? ? ? ?1.50

7.8、如果發(fā)現(xiàn)機(jī)器產(chǎn)生了異常流量，可以使用命令"tcpdump"抓取網(wǎng)絡(luò)包查看流量情況或者使用工具"iperf"查看流量情況

7.9、可以查看/var/log/secure日志文件，嘗試發(fā)現(xiàn)入侵者的信息，相關(guān)命令示例: