這篇文章將為大家詳細講解有關linux服務器入侵應急響應的示例分析，小編覺得挺實用的，因此分享給大家做個參考，希望大家閱讀完這篇文章后可以有所收獲。

目前成都創(chuàng)新互聯(lián)已為成百上千家的企業(yè)提供了網站建設、域名、網站空間、網站改版維護、企業(yè)網站設計、科爾沁網站維護等服務，公司將堅持客戶導向、應用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

一、確認安全事件

情況緊急，首先要確認安全事件的真實性。經過和服務器運維人員溝通，了解到業(yè)務只在內網應用，但服務器竟然放開到公網了，能在公網直接ping通，且開放了22遠程端口。從這點基本可以確認服務器已經被入侵了。

二、日志分析

猜想黑客可能是通過SSH暴破登錄服務器。查看/var/log下的日志，發(fā)現(xiàn)大部分日志信息已經被清除，但secure日志沒有被破壞，可以看到大量SSH登錄失敗日志，并存在root用戶多次登錄失敗后成功登錄的記錄，符合暴力破解特征

通過查看威脅情報，發(fā)現(xiàn)暴力破解的多個IP皆有惡意掃描行為

三、系統(tǒng)分析

對系統(tǒng)關鍵配置、賬號、歷史記錄等進行排查，確認對系統(tǒng)的影響情況

發(fā)現(xiàn)/root/.bash_history內歷史記錄已經被清除，其他無異常。

四、進程分析

對當前活動進程、網絡連接、啟動項、計劃任務等進行排查

發(fā)現(xiàn)以下問題：

1)異常網絡連接

通過查看系統(tǒng)網絡連接情況，發(fā)現(xiàn)存在木馬后門程序te18網絡外聯(lián)。

在線查殺該文件為Linux后門程序。

2)異常定時任務

通過查看crontab 定時任務，發(fā)現(xiàn)存在異常定時任務。

分析該定時任務運行文件及啟動參數(shù)

在線查殺相關文件為挖礦程序

查看礦池配置文件

五、文件分析

在/root目錄發(fā)現(xiàn)黑客植入的惡意代碼和相關操作文件。

黑客創(chuàng)建隱藏文件夾/root/.s/,用于存放挖礦相關程序。

六、后門排查

最后使用RKHunter掃描系統(tǒng)后門

七、總結

通過以上的分析，可以判斷出黑客通過SSH爆破的方式，爆破出root用戶密碼，并登陸系統(tǒng)進行挖礦程序和木馬后門的植入。

加固建議

1)刪除crontab 定時任務（刪除文件/var/spool/cron/root內容），刪除服務器上黑客植入的惡意文件。

2)修改所有系統(tǒng)用戶密碼，并滿足密碼復雜度要求：8位以上，包含大小寫字母+數(shù)字+特殊符號組合；

3)如非必要禁止SSH端口對外網開放，或者修改SSH默認端口并限制允許訪問IP；

關于“l(fā)inux服務器入侵應急響應的示例分析”這篇文章就分享到這里了，希望以上內容可以對大家有一定的幫助，使各位可以學到更多知識，如果覺得文章不錯，請把它分享出去讓更多的人看到。

文章題目：linux服務器入侵應急響應的示例分析-創(chuàng)新互聯(lián)
標題URL：http://www.rwnh.cn/article6/ddcpig.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供網頁設計公司、網站導航、微信小程序、品牌網站設計、定制網站、自適應網站

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)