黑客入侵应急分析排查手册.docxVIP

黑客入侵应急分析排查手册（Linux） 1事件分类 常见的安全事件： Web入侵：挂马、篡改、Webshell 系统入侵：系统异常、RDP爆破、SSH爆破、主机漏洞 病毒木马：远控、后门、勒索软件 信息泄漏：脱裤、数据库登录（弱口令） 网络流量：频繁发包、批量请求、DDOS攻击 2排查思路 一个常规的入侵事件后的系统排查思路： 文件分析 ?a) 文件日期、新增文件、可疑/异常文件、最近使用文件、浏览器下载文件 ?b) Webshell 排查与分析 ?c) 核心应用关联目录文件分析 进程分析 ?a) 当前活动进程 & 远程连接 ?b) 启动进程&计划任务 ?c) 进程工具分析 ? Linux: Chkrootkit&Rkhunter 系统信息 ?a) 环境变量 ?b) 帐号信息 ?c) History ?d) 系统配置文件 日志分析 ?a) 操作系统日志 ? i. Linux: /var/log/ ?b) 应用日志分析 ? i. Access.log ? ii. Error.log 3 分析排查 3.1 Linux系列分析排查 3.1.1 文件分析 敏感目录的文件分析（类/tmp目录，命令目录/usr/bin /usr/sbin） ?例如: ?查看tmp目录下的文件： ls –alt /tmp/ ?查看开机启动项内容：ls -alt /etc/init.d/ ?查看指定目录下文件时间的排序：ls -alt | head -n 10 ?针对可疑文件可以使用stat进行创建修改时间、访问时间的详细查看，若修改时间距离事件日期接近，有线性关联，说明可能被篡改或者其他。 新增文件分析 ?例如要查找24小时内被修改的JSP文件： find ./ -mtime 0 -name "*.jsp" ?（最后一次修改发生在距离当前时间n24小时至(n+1)24 小时） ?查找72小时内新增的文件find / -ctime -2 ?PS：-ctime 内容未改变权限改变时候也可以查出 ?根据确定时间去反推变更的文件 ?ls -al /tmp | grep "Feb 27" 特殊权限的文件 ?查找777的权限的文件 find / *.jsp -perm 4777 隐藏的文件（以 "."开头的具有隐藏属性的文件） 在文件分析过程中，手工排查频率较高的命令是 find grep ls 核心目的是为了关联推理出可疑文件。 3.1.2 进程命令 使用netstat 网络连接命令，分析可疑端口、可疑IP、可疑PID及程序进程 netstat –antlp | more 使用ps命令，分析进程 ps aux | grep pid | grep –v grep 将netstat与ps 结合： （可以使用lsof -i:1677 查看指定端口对应的程序） 使用ls 以及 stat 查看系统命令是否被替换。 ?两种思路：第一种查看命令目录最近的时间排序，第二种根据确定时间去匹配。 ?ls -alt /usr/bin | head -10 ?ls -al /bin /usr/bin /usr/sbin/ /sbin/ | grep "Jan 15" PS：如果日期数字<10，中间需要两个空格。比如1月1日，grep “Jan 1” 隐藏进程查看 ps -ef | awk '{print}' | sort -n | uniq >1 ls /proc | sort -n |uniq >2 diff 1 2 3.1.3 系统信息 history (cat /root/.bash_history) /etc/passwd crontab /etc/cron* rc.local /etc/init.d chkconfig last $PATH strings 查看分析history (cat /root/.bash_history)，曾经的命令操作痕迹，以便进一步排查溯源。运气好有可能通过记录关联到如下信息： a) wget 远程某主机（域名&IP）的远控文件； b) 尝试连接内网某主机（ssh scp），便于分析攻击者意图; c) 打包某敏感数据或代码，tar zip 类命令 d) 对系统进行配置，包括命令修改、远控木马类，可找到攻击者关联信息… 查看分析用户相关分析 ?a) useradd userdel 的命令时间变化（stat），以及是否包含可疑信息 b) cat /etc/passwd 分析可疑帐号，可登录帐号 查看UID为0的帐号：awk -F: '{if($3==0)print $1}' /etc/passwd 查看能够登录的帐号：cat /etc/passwd | grep -E "/bin/bash$" PS：UID为0的帐号也不一定都是可疑帐号，Freeb