這篇文章將為大家詳細(xì)講解有關(guān)linux服務(wù)器入侵應(yīng)急響應(yīng)的示例分析，小編覺(jué)得挺實(shí)用的，因此分享給大家做個(gè)參考，希望大家閱讀完這篇文章后可以有所收獲。

目前成都創(chuàng)新互聯(lián)已為成百上千家的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)站空間、網(wǎng)站改版維護(hù)、企業(yè)網(wǎng)站設(shè)計(jì)、科爾沁網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長(zhǎng)，共同發(fā)展。

一、確認(rèn)安全事件

情況緊急，首先要確認(rèn)安全事件的真實(shí)性。經(jīng)過(guò)和服務(wù)器運(yùn)維人員溝通，了解到業(yè)務(wù)只在內(nèi)網(wǎng)應(yīng)用，但服務(wù)器竟然放開(kāi)到公網(wǎng)了，能在公網(wǎng)直接ping通，且開(kāi)放了22遠(yuǎn)程端口。從這點(diǎn)基本可以確認(rèn)服務(wù)器已經(jīng)被入侵了。

二、日志分析

猜想黑客可能是通過(guò)SSH暴破登錄服務(wù)器。查看/var/log下的日志，發(fā)現(xiàn)大部分日志信息已經(jīng)被清除，但secure日志沒(méi)有被破壞，可以看到大量SSH登錄失敗日志，并存在root用戶多次登錄失敗后成功登錄的記錄，符合暴力破解特征

通過(guò)查看威脅情報(bào)，發(fā)現(xiàn)暴力破解的多個(gè)IP皆有惡意掃描行為

三、系統(tǒng)分析

對(duì)系統(tǒng)關(guān)鍵配置、賬號(hào)、歷史記錄等進(jìn)行排查，確認(rèn)對(duì)系統(tǒng)的影響情況

發(fā)現(xiàn)/root/.bash_history內(nèi)歷史記錄已經(jīng)被清除，其他無(wú)異常。

四、進(jìn)程分析

對(duì)當(dāng)前活動(dòng)進(jìn)程、網(wǎng)絡(luò)連接、啟動(dòng)項(xiàng)、計(jì)劃任務(wù)等進(jìn)行排查

發(fā)現(xiàn)以下問(wèn)題：

1)異常網(wǎng)絡(luò)連接

通過(guò)查看系統(tǒng)網(wǎng)絡(luò)連接情況，發(fā)現(xiàn)存在木馬后門(mén)程序te18網(wǎng)絡(luò)外聯(lián)。

在線查殺該文件為L(zhǎng)inux后門(mén)程序。

2)異常定時(shí)任務(wù)

通過(guò)查看crontab 定時(shí)任務(wù)，發(fā)現(xiàn)存在異常定時(shí)任務(wù)。

分析該定時(shí)任務(wù)運(yùn)行文件及啟動(dòng)參數(shù)

在線查殺相關(guān)文件為挖礦程序

查看礦池配置文件

五、文件分析

在/root目錄發(fā)現(xiàn)黑客植入的惡意代碼和相關(guān)操作文件。

黑客創(chuàng)建隱藏文件夾/root/.s/,用于存放挖礦相關(guān)程序。

六、后門(mén)排查

最后使用RKHunter掃描系統(tǒng)后門(mén)

七、總結(jié)

通過(guò)以上的分析，可以判斷出黑客通過(guò)SSH爆破的方式，爆破出root用戶密碼，并登陸系統(tǒng)進(jìn)行挖礦程序和木馬后門(mén)的植入。

加固建議

1)刪除crontab 定時(shí)任務(wù)（刪除文件/var/spool/cron/root內(nèi)容），刪除服務(wù)器上黑客植入的惡意文件。

2)修改所有系統(tǒng)用戶密碼，并滿足密碼復(fù)雜度要求：8位以上，包含大小寫(xiě)字母+數(shù)字+特殊符號(hào)組合；

3)如非必要禁止SSH端口對(duì)外網(wǎng)開(kāi)放，或者修改SSH默認(rèn)端口并限制允許訪問(wèn)IP；

關(guān)于“l(fā)inux服務(wù)器入侵應(yīng)急響應(yīng)的示例分析”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，使各位可以學(xué)到更多知識(shí)，如果覺(jué)得文章不錯(cuò)，請(qǐng)把它分享出去讓更多的人看到。

文章題目：linux服務(wù)器入侵應(yīng)急響應(yīng)的示例分析-創(chuàng)新互聯(lián)
標(biāo)題URL：http://chinadenli.net/article6/ddcpig.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁(yè)設(shè)計(jì)公司、網(wǎng)站導(dǎo)航、微信小程序、品牌網(wǎng)站設(shè)計(jì)、定制網(wǎng)站、自適應(yīng)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)