linux安全应急响应

一、linux可能出现的入侵情况及表象

1、存在非法外联占用带宽

2、存在异常进程或者异常端口

3、CPU、内存报警

4、服务器无法正常连接

5、出现异常登录和异常账号

6、网站被注入木马、webshell

二、排查思路

首先确定信息：初步判断黑客攻击路径

    1、该服务器是否有对外的业务

    2、该服务器部署过什么应用

    3、部署应用的密码组成

  初步排查:：通过不同的表象利用不同方法和命令去排查

     1、系统命令是否被篡改，如果被篡改安装busybox代替系统命令，下载地址：https://github.com/mirror/busybox

     2、查看登录记录、历史命令、异常账号

           last   查看登录历史

           history  产看root执行的系统命令     

           打开/home各账号目录下的.bash_history，查看普通账号的历史命令

           cat /etc/passwd 查看有没有异常账号

      3、查看异常外联异常进程及文件，注意文件创建的时间

            top  查看占用内存和cpu比较高的PID

            ps -aux   查看占用内存和cpu比较高的PID和实际的指令位置

            netstat -anplt  查看可疑外联ip、端口、PID

            ls -l /proc/pid/exe  产看文件对应的路径 

            lsof -p  pid   找到pid对应程序打开的文件

            ls -l  /etc/init.d   查看启动项   

            pkill pid 杀掉进程

            pstree -h pid -p -a   查看某个进程的进程树

       4、计划任务和免密登录

             crontab  -l   查看是否有可疑的计划任务

             ls -l  /etc/.ssh   是否有攻击者上传的秘钥

       5、查看近期被修改的文件

            find / -type f -atime -7/7/+7 7天内/第7天/7天前

        6、删除文件

            lsattr 查看linux文件得特殊权限（root用户删除文件时发现权限不足）

            chattr -ai 删除文件得a和i得权限

       7、日志分析

            /var/log/message 包括整体系统信息

            /var/log/auth.log 包含系统授权信息，包括用户登录和使用的权限机制等

            /var/log/userlog 记录所有等级用户信息的日志

            /var/log/cron 记录crontab命令是否被正确的执行

            /var/log/xferlog(vsftpd.log)记录Linux FTP日志

            /var/log/lastlog 记录登录的用户，可以使用命令lastlog查看

            /var/log/secure 记录大多数应用输入的账号与密码，登录成功与否

            /var/log/wtmp  记录登录系统成功的账户信息，等同于命令last

            /var/log/faillog  记录登录系统不成功的账号信息，一般会被黑客删除

       8、工具

           chkrootkit  rootkit 查杀   下载网站：http://www.chkrootkit.org

           rkhunter    rootkit 查杀    下载网站：http://rkhunter.sourceforge.net/

           clamav    病毒扫描  下载网站： http://www.clamav.net/download.html

           webshell查杀 没有好的办法，可疑把网站目录下载到本地用D盾进行扫描