@贝壳儿
3年前 提问
1个回答

Linux 入侵溯源分析包含哪些部分

一颗小胡椒
3年前
官方采纳

Linux入侵溯源分析分系统、服务、文件、网络四个部分,分析思路如下图所示。

  1. 系统

    针对Linux系统层面,我们主要关注以下内容:

    • 命令完整性检查
    • 恶意用户排查
    • 异常定时任务和启动项排查
    • 系统日志检查
  2. 服务

  • 服务漏洞检查

    操作系统都会提供各种服务,而提供服务就存在被入侵的可能,恶意的服务会开启进程,因此需要对服务及进程进行检测。若对外开放的某个服务存在漏洞,攻击者利用该漏洞获得服务器的部分权限,进而控制整个系统。因此需要仔细查看该机器上运行的服务。根据运行的服务,推测入侵途径。一般来说,互联网提供得最多的服务便是Web服务,因此,需要对Web服务进行排查,但也可能提供其他服务,例如SSH、MySQL等,因此,针对不同的服务,做不同的排查。

  • 恶意进程排查

    攻击者只有新开一个进程才能实施攻击。根据恶意进程,定位病毒/木马的位置。下载样本到本地,取样分析,确定攻击轨迹和危害并且杀死进程清理病毒。

  1. 文件
  • 敏感目录排查

    与Windows系统中一样,在Linux中,黑客入侵服务器为了维持权限,也会留下后门文件以便再次入侵,而且后门文件一般会比较隐蔽,难以查找,因此需要排查敏感目录,找到可疑文件进行分析。

  • 病毒/木马检测

    取样分析

  1. 网络
  • 异常网络连接排查
  • 异常流量分析