linux排查

『壹』 linux受到黑客攻擊時怎麼排查

當企業遭受黑客攻擊時，首要任務是迅速恢復網路系統正常運作，同時查明入侵源頭，還原攻擊過程，制定解決方案與防範措施，以減少或挽回經濟損失。本文旨在指導企業在面對常見攻擊事件時，如何進行Linux伺服器的入侵排查。

一、系統分析

對被入侵的伺服器，需從用戶信息、進程埠、可疑服務等多方面進行分析，搜集入侵信息。查看用戶登錄記錄、遠程登錄用戶、擁有sudo許可權的用戶以及執行的歷史命令。通過netstat和ps命令檢查異常埠和高CPU佔用的進程，以識別潛在威脅。

二、用戶信息排查

通過執行lastlog命令查看用戶登錄信息，netstat和ps命令檢查埠連接和進程狀態。對可疑進程進行深入分析，如通過查看進程文件路徑、使用kill命令終止進程並刪除惡意文件。

三、進程埠排查

使用netstat和ps命令檢查異常埠和高CPU佔用的進程。對可疑連接和進程進行深入分析，包括查看埠連接情況、進程文件路徑等，以識別和處理惡意活動。

四、系統服務排查

通過service和chkconfig命令檢查可疑服務，注意定時任務和開機啟動項的異常。確保所有服務正常，避免惡意服務再次啟動，通過cat命令查看anacrontab中的非同步任務，以及使用crontab命令檢查定時任務。

五、日誌分析

分析核心日誌文件，如/var/log/secure文件中的SSH登錄日誌，以識別攻擊行為和入侵源。檢查Web應用日誌，查找可疑Webshell文件和掃描行為。

六、應急工具

使用GScan等應急響應工具輔助排查，提高效率。GScan自動化檢測系統風險，實現全面檢查與黑客攻擊路徑溯源。

七、病毒查殺

利用chkrootkit等工具查殺Rootkit，以及ClamAV等軟體進行病毒查殺。針對Webshell，可使用河馬工具檢測和清除。

八、總結

企業信息安全建設應包括漏洞修復、安全設置優化、網路限制等多方面工作。應急響應體系應遵循PDCERF方法，包括准備、檢測、遏制、根除、恢復、跟蹤六個階段，以快速、准確、穩定地定位和解決安全問題，保障業務系統的穩定性和安全性。