安全应急响应检查清单

=Start=

缘由:

凡事预则立,不预则废。

正文:

参考解答:
几个处理原则:
  1. 不能造成二次伤害(系统故障、日志丢失等等);
  2. 需要及时保存操作记录和结果记录;
需要的准备:
  • 静态编译的 w/last/lastb/lastlog/ps/top/ss/netstat/lsof/find/rpm 等命令;
  • 一些常见的检查工具/脚本;
操作分类:
  • Unusual Processes and Services(异常的进程和服务)
  • Unusual Files(异常的文件)
  • Unusual Network Usage(异常的网络使用情况)
  • Unusual Scheduled Tasks(异常的计划任务)
  • Unusual Accounts(异常的账户)
  • Unusual Log Entries(异常的日志条目)
  • Other Unusual Items(其它的异常情况)
  • Additional Supporting Tools(额外的一些支撑工具)

异常的账户:

异常的进程和服务:

异常的文件:

用命令 rpm -Va 进行packages校验:

这条命令会对比当前文件和RPM数据中记录的文件的大小、MD5值、权限、类型、属主、属组、修改时间等信息:

对于在 /sbin, /bin, /usr/sbin, 和 /usr/bin 等目录中的文件要尤其注意。在部分Linux发行版中,这个分析可以用内建的 check-packages 脚本来完成。


查找那些文件链接数异常(比如链接数为0)的运行中进程,攻击者可能将一些数据隐藏在其中,或是通过这类文件启动后门:

查找异常的SUID(root)文件:

查看最近都有哪些文件发生了变动:

查找一些文件名中有「空格」、「点」的伪装文件:

查找一些异常的大文件(>10MB):

异常的网络使用情况:

查看网络是否处于混杂模式:

查看网络端口的使用情况:

查看ARP的情况:

查看DNS和hosts设置:

异常的计划任务:

查找异常的root用户的计划任务:

查找异常的系统级别的计划任务:

查找异常的开机启动项:

异常的日志条目:

其它的异常情况:

额外的一些支撑工具:
  • Chkrootkit
  • Tripwire
  • AIDE
  • The Center for Internet Security
  • The free Bastille Script
参考链接:

=END=

声明: 除非注明,CrazyOf.me文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://crazyof.me/blog/archives/3243.html

《安全应急响应检查清单》上有5条评论

  1. 静态编译的 w/last/lastb/lastlog/ps/top/ss/netstat/lsof/find/rpm 等命令可能不太容易获取,退而求其次,可以考虑从一个相同架构、版本的纯净Linux机器上获取到这些命令,然后打包放到新机器的某个目录上,执行时记得使用 ./命令名 的方式进行,不过最好是自己写一个lib脚本然后提前 source 一下,因为Bash执行/解析命令的优先顺序中alias(别名)是高于其它的command(外部命令)的:

    $ type w
    w is /usr/bin/w
    $ type last
    last is /usr/bin/last
    $ type lastb
    lastb is /usr/bin/lastb
    $ type lastlog
    lastlog is /usr/bin/lastlog
    $ type ps
    ps is /bin/ps
    $ type top
    top is /usr/bin/top
    $ type ss
    ss is /usr/sbin/ss
    $ type netstat
    netstat is /bin/netstat
    $ type lsof
    lsof is /usr/sbin/lsof
    $ type find
    find is /bin/find
    $ type rpm
    rpm is hashed (/bin/rpm)
    $ which rpm
    /bin/rpm
    $ hash -d rpm
    $ type rpm
    rpm is /bin/rpm

  2. 一些日志:
    /var/run/utmp
    /var/log/wtmp
    /var/log/lastlog
    /var/log/messages
    /var/log/secure
    /var/log/auth.log
    /var/log/faillog

    一些命令:
    ls/ps/netstat/login/find/ifconfig/ip/sshd/ssh

    一些模块:
    /lib/security/pam_unix.so
    /lib64/security/pam_unix.so

  3. 感觉真的好复杂啊,一脸懵逼没看懂,大神知不知道有没有视频资源对这方面进行讲解的,求介绍

    1. 不好意思,这方面的视频资源我也没有,不过你可以去YouTube上搜一搜,老外那边应该有不少。
      应急响应这东西经历过一两次应该就会有个较深刻的印象了。。。

发表评论

电子邮件地址不会被公开。 必填项已用*标注