這篇文章主要講解了“淪陷主機(jī)的處置方法有哪些”，文中的講解內(nèi)容簡單清晰，易于學(xué)習(xí)與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學(xué)習(xí)“淪陷主機(jī)的處置方法有哪些”吧！

創(chuàng)新互聯(lián)公司-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價比潢川網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式潢川網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋潢川地區(qū)。費(fèi)用合理售后完善，十余年實(shí)體公司更值得信賴。

SETP1：將主機(jī)和當(dāng)前業(yè)務(wù)網(wǎng)絡(luò)隔離

操作意義：將淪陷主機(jī)從業(yè)務(wù)環(huán)境中隔離出來防止黑客通過該主機(jī)進(jìn)行下一步滲透

方法1:直接交換機(jī)上shutdown該服務(wù)器接口

實(shí)例設(shè)置方式：int G0/0/24  shutdown （G0/0/24為示例接口）

方法2:直接服務(wù)器上關(guān)閉網(wǎng)卡  

實(shí)例設(shè)置方式：ifdown eth0（eth0為示例接口）

方法3:斷開網(wǎng)線

實(shí)例操作：將服務(wù)器網(wǎng)口線纜移除

SETP2：接入到帶網(wǎng)絡(luò)的隔離環(huán)境中（建議帶網(wǎng)絡(luò)）并對流量進(jìn)行捕獲，檢查。

操作意義：記錄下當(dāng)前淪陷主機(jī)工作的網(wǎng)絡(luò)連接方便溯源和檢查異常的通信程序

方法1：直接接入帶網(wǎng)絡(luò)的環(huán)境然后通過TCPDUMP或者 Wireshark 本地抓包

實(shí)際操作：tcpdump -i eth20 -c 10000 -w  eth2.cap，

或者直接在Wireshark上選擇接口開始抓包，然后通過netstat -anob >> 1.txt 保存一份連接信息，最后對抓出來的數(shù)據(jù)包進(jìn)行分析和過濾（例如你應(yīng)用是使用TCP8080端口 你可以使用過濾器not tcp.port == 8080 查看非業(yè)務(wù)流量）

方法2：通過端口鏡像進(jìn)行抓包

實(shí)際操作：通過使用端口鏡像命令將服務(wù)器流量引入到抓包主機(jī)對流量進(jìn)行收集

然后通過netstat -anob >> 1.txt 保存一份連接信息，最后對抓出來的數(shù)據(jù)包進(jìn)行分析和過濾

SETP3：日志保存和分析

操作意義：檢查日志服務(wù)器日志和本地日志（不僅限于服務(wù)器）發(fā)現(xiàn)入侵痕跡。

優(yōu)先檢查secure日志，和系統(tǒng)應(yīng)用日志，cron ，btmp日志等。

/var/log/message 系統(tǒng)啟動后的信息和錯誤日志

/var/log/secure 與安全相關(guān)的日志信息

/var/log/maillog 與郵件相關(guān)的日志信息

/var/log/cron 與定時任務(wù)相關(guān)的日志信息

/var/log/spooler 與UUCP和news設(shè)備相關(guān)的日志信息

/var/log/boot.log 守護(hù)進(jìn)程啟動和停止相關(guān)的日志消息

/var/log/httpd，/var/log/MySQLd.log 應(yīng)用日志（該httpd只是舉例說明）

/var/run/utmp 記錄著現(xiàn)在登錄的用戶
/var/log/lastlog 記錄每個用戶最后的登錄信息
/var/log/btmp 記錄錯誤的登錄嘗試
/var/log/dmesg內(nèi)核日志
/var/log/cpus CPU的處理信息
/var/log/syslog 事件記錄監(jiān)控程序日志
/var/log/auth.log 用戶認(rèn)證日志
/var/log/daemon.log 系統(tǒng)進(jìn)程日志

SETP4：通過應(yīng)用副本文件檢查應(yīng)用服務(wù)端有沒有被篡改

操作意義：檢查應(yīng)用是否受到感染。

方法1：通過MD5sum 命令 對比正常副本和當(dāng)前服務(wù)器副本的MD5差距。檢查應(yīng)用是否受到感染。

方法2：通過類似Beyond Compare這類文件進(jìn)行文件不同的比對。

SETP5：檢查常規(guī)用戶和文件權(quán)限配置和系統(tǒng)配置

操作意義：檢查系統(tǒng)異常表現(xiàn)，推測入侵手段。

1. 檢查帳戶
   # less /etc/passwd
   # grep :0: /etc/passwd（檢查是否產(chǎn)生了新用戶，和UID、GID是0的用戶）
   # ls -l /etc/passwd（查看文件修改日期）
   # awk -F: ‘$3= =0 {print $1}’ /etc/passwd（查看是否存在特權(quán)用戶）
   # awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow（查看是否存在空口令帳戶）

（window下可以 net user 類命令查看）

1. 檢查進(jìn)程
   # ps -aux（注意UID是0的）
   # lsof -p pid（察看該進(jìn)程所打開端口和文件）
   # cat /etc/inetd.conf | grep -v “^#”（檢查守護(hù)進(jìn)程）
   檢查隱藏進(jìn)程
   # ps -ef|awk ‘{print }’|sort -n|uniq >1
   # ls /porc |sort -n|uniq >2

2. 檢查后門
   # cat /etc/crontab
   # ls /var/spool/cron/
   # cat /etc/rc.d/rc.local
   # ls /etc/rc.d
   # ls /etc/rc3.d
   # find / -type f -perm 4000

（windows可以通過ICESWORD和任務(wù)管理器之類的工具檢查）

檢查計劃任務(wù)
注意root和UID是0的schedule
# crontab –u root –l
# cat /etc/crontab
# ls /etc/cron.*

檢查裝載的內(nèi)核模塊

#lsmod

檢查系統(tǒng)服務(wù)

Chkconfig  

查目錄權(quán)限

Ls -l

（windows鼠標(biāo)右鍵的權(quán)限管理）

SETP6：服務(wù)器殺毒

操作意義：通過殺毒程式檢測后門

操作示例：直接安裝較不熱門且較強(qiáng)力殺毒軟件查殺，例如麥咖啡，小紅傘 avast！之類的。（推薦使用兩款以上，防止免殺）。

SETP7：業(yè)務(wù)數(shù)據(jù)備份（可以擴(kuò)展4頁）

操作意義:備份業(yè)務(wù)數(shù)據(jù)用于恢復(fù)

操作示例：看業(yè)務(wù)環(huán)境 可以直接通過復(fù)制還是通過相關(guān)設(shè)備或者軟件直接備份。

SETP8：操作系統(tǒng)的重新安裝，打上最新補(bǔ)丁（系統(tǒng)和服務(wù)軟件），系統(tǒng)加固

并恢復(fù)業(yè)務(wù)

操作意義：恢復(fù)業(yè)務(wù)運(yùn)行，并加固系統(tǒng)

操作示例：通過重新安裝官方下載的操作系統(tǒng)和服務(wù)程序，打上最新補(bǔ)丁保證主機(jī)不會因舊漏洞淪陷，通過最小權(quán)限規(guī)則法把用戶權(quán)限設(shè)置為最低。

SETP9：服務(wù)安全性重新評估

操作意義：檢測服務(wù)器加固最優(yōu)狀態(tài)下的防御能力

操作示例：各種掃描器伺候，各種滲透測試。

感謝各位的閱讀，以上就是“淪陷主機(jī)的處置方法有哪些”的內(nèi)容了，經(jīng)過本文的學(xué)習(xí)后，相信大家對淪陷主機(jī)的處置方法有哪些這一問題有了更深刻的體會，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是創(chuàng)新互聯(lián)，小編將為大家推送更多相關(guān)知識點(diǎn)的文章，歡迎關(guān)注！

網(wǎng)頁題目：淪陷主機(jī)的處置方法有哪些
URL網(wǎng)址：http://www.rwnh.cn/article40/ghcoho.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供標(biāo)簽優(yōu)化、微信小程序、定制開發(fā)、品牌網(wǎng)站設(shè)計、電子商務(wù)、網(wǎng)站營銷

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)