@贝壳儿
3年前 提问
1个回答
Linux 入侵溯源分析包含哪些部分
一颗小胡椒
3年前
官方采纳
Linux入侵溯源分析分系统、服务、文件、网络四个部分,分析思路如下图所示。
系统
针对Linux系统层面,我们主要关注以下内容:
- 命令完整性检查
- 恶意用户排查
- 异常定时任务和启动项排查
- 系统日志检查
服务
服务漏洞检查
操作系统都会提供各种服务,而提供服务就存在被入侵的可能,恶意的服务会开启进程,因此需要对服务及进程进行检测。若对外开放的某个服务存在漏洞,攻击者利用该漏洞获得服务器的部分权限,进而控制整个系统。因此需要仔细查看该机器上运行的服务。根据运行的服务,推测入侵途径。一般来说,互联网提供得最多的服务便是Web服务,因此,需要对Web服务进行排查,但也可能提供其他服务,例如SSH、MySQL等,因此,针对不同的服务,做不同的排查。
恶意进程排查
攻击者只有新开一个进程才能实施攻击。根据恶意进程,定位病毒/木马的位置。下载样本到本地,取样分析,确定攻击轨迹和危害并且杀死进程清理病毒。
- 文件
敏感目录排查
与Windows系统中一样,在Linux中,黑客入侵服务器为了维持权限,也会留下后门文件以便再次入侵,而且后门文件一般会比较隐蔽,难以查找,因此需要排查敏感目录,找到可疑文件进行分析。
病毒/木马检测
取样分析
- 网络
- 异常网络连接排查
- 异常流量分析