linux排查

‘壹’ linux受到黑客攻击时怎么排查

当企业遭受黑客攻击时，首要任务是迅速恢复网络系统正常运作，同时查明入侵源头，还原攻击过程，制定解决方案与防范措施，以减少或挽回经济损失。本文旨在指导企业在面对常见攻击事件时，如何进行Linux服务器的入侵排查。

一、系统分析

对被入侵的服务器，需从用户信息、进程端口、可疑服务等多方面进行分析，搜集入侵信息。查看用户登录记录、远程登录用户、拥有sudo权限的用户以及执行的历史命令。通过netstat和ps命令检查异常端口和高CPU占用的进程，以识别潜在威胁。

二、用户信息排查

通过执行lastlog命令查看用户登录信息，netstat和ps命令检查端口连接和进程状态。对可疑进程进行深入分析，如通过查看进程文件路径、使用kill命令终止进程并删除恶意文件。

三、进程端口排查

使用netstat和ps命令检查异常端口和高CPU占用的进程。对可疑连接和进程进行深入分析，包括查看端口连接情况、进程文件路径等，以识别和处理恶意活动。

四、系统服务排查

通过service和chkconfig命令检查可疑服务，注意定时任务和开机启动项的异常。确保所有服务正常，避免恶意服务再次启动，通过cat命令查看anacrontab中的异步任务，以及使用crontab命令检查定时任务。

五、日志分析

分析核心日志文件，如/var/log/secure文件中的SSH登录日志，以识别攻击行为和入侵源。检查Web应用日志，查找可疑Webshell文件和扫描行为。

六、应急工具

使用GScan等应急响应工具辅助排查，提高效率。GScan自动化检测系统风险，实现全面检查与黑客攻击路径溯源。

七、病毒查杀

利用chkrootkit等工具查杀Rootkit，以及ClamAV等软件进行病毒查杀。针对Webshell，可使用河马工具检测和清除。

八、总结

企业信息安全建设应包括漏洞修复、安全设置优化、网络限制等多方面工作。应急响应体系应遵循PDCERF方法，包括准备、检测、遏制、根除、恢复、跟踪六个阶段，以快速、准确、稳定地定位和解决安全问题，保障业务系统的稳定性和安全性。