网络安全——应急响应之Linux入侵排查
一、应急响应简介
1.1、什么是应急响应
网络安全所说的应急响应(Emergency Response)通常是指在突发事件发生后,为了减少损失和危害,迅速采取的一系列应对措施,保护生命财产安全,恢复正常秩序的过程。这里说的突发事件特指:影响系统(包含服务器主机和操作系统、网络范围)正常工作的情况(如:黑客入侵服务器、黑客劫持服务器、病毒爆发、系统异常宕机、应用服务瘫痪、信息窃取、DDOS攻击、网络流量异常等内容)。
1.2、应急响应的工作流程
应急响应的工作流程主要分为七个步骤:1-准备阶段、2-启动阶段、3-检测阶段、4-抑制阶段、5-根除阶段、6-恢复阶段、7-跟进阶段,详细流程内容如下图所示:
1.3、应急响应事件分类
这里所指的应急响应事件分类特指网络安全领域:(主要分为三大类)
| 序号 | 类型 | 类型说明 |
| 1 | 系统入侵 | 主要是:病毒、木马和漏洞(病毒一般都具备传染性与高破坏性;而木马则一般是用作后门控制,较为隐蔽) |
| 2 | web入侵 | 主要是:Webshell、主页篡改、网页挂马、XSS、CSRF、SSRF、SQL注入 |
| 3 | 网络攻击 | 主要是:DDOS攻击、DNS劫持、ARP欺骗 |
二、Linux入侵排查
2.1、检查系统的账户信息
2.1.1、检查账号信息
主要是查看Linux服务器上的所有账号内容是否存在未知账号,然后与该Linux主机相关人员一起确认;但需要注意账号文件中尾部带有【nologin】表示只能本机登录不能远程登录,其余的则可以远程登录。
1、查看所有的账号信息
cat /etc/passwd
more /etc/passwd
Linux账号信息说明
| 序号 | Linux账号信息名称 | 说明 |
| 1 | 用户名称 | 表示Linux系统登录标识的用户名称 |
| 2 | 密码占位符 | 在以前,这个内容是用作存储用户的密码,目前是通常使用x或*占位,表示该账号对应的加密密码已经存储在/etc/shadow文件中了 |
| 3 | 用户ID | 表示每个用户唯一的数字标识符,简称UID |
| 4 | 组ID | 表示每个用户属于的主组,简称GID |
| 5 | 用户描述 | 表示对账号内容的描述,可包含用户的全称或其他描述性内容 |
| 6 | 家目录 | 表示用户登录后进入的目录 |
| 7 | 登录之后的shell | 表示用户登录后启动的shell |
| 了解Linux账户的信息地址【如何在Linux中查看和理解/etc/passwd文件】 新增用户内容【Linux 中的 useradd 命令及示例 - Linux 命令行教程】 用户密码操作内容【Linux 中的 Passwd 命令:8 个实际示例】 |
||
2、查看所有可远程登录的用户
cat /etc/passwd | grep '/bin/bash'
3、查看所有只能本机登录的用户
cat /etc/passwd | grep '/sbin/nologin'
2.1.2、 查看密码信息
1、查看影子文件对应的账号密码信息
cat /etc/shadow
Linux的密码信息说明
| 序号 | Linux密码信息内容名称 | 说明 |
| 1 | 用户名 | 与账号信息名称一致 |
| 2 | 加密密码 | 是账号对应的密码(该密码采用双层加密的(加密和加盐),不易破解);该内容若为空则表示没有密码可直接登录; 注意: |