欢迎来到尧图网

客户服务 关于我们

您的位置:首页 > 新闻 > 国际 > 网络安全——应急响应之Linux入侵排查

网络安全——应急响应之Linux入侵排查

2024/11/20 4:25:21 来源:https://blog.csdn.net/xiaochenXIHUA/article/details/143708837  浏览:    关键词:网络安全——应急响应之Linux入侵排查

一、应急响应简介

1.1、什么是应急响应

        网络安全所说的应急响应(Emergency Response)通常是指在突发事件发生后,为了减少损失和危害,迅速采取的一系列应对措施,保护生命财产安全,恢复正常秩序的过程。这里说的突发事件特指:影响系统(包含服务器主机和操作系统、网络范围)正常工作的情况(如:黑客入侵服务器、黑客劫持服务器、病毒爆发、系统异常宕机、应用服务瘫痪、信息窃取、DDOS攻击、网络流量异常等内容)。

1.2、应急响应的工作流程

        应急响应的工作流程主要分为七个步骤:1-准备阶段、2-启动阶段、3-检测阶段、4-抑制阶段、5-根除阶段、6-恢复阶段、7-跟进阶段,详细流程内容如下图所示:

1.3、应急响应事件分类 

这里所指的应急响应事件分类特指网络安全领域:(主要分为三大类)

网络安全的应急响应事件分类
序号类型类型说明
1系统入侵主要是:病毒、木马和漏洞(病毒一般都具备传染性与高破坏性;而木马则一般是用作后门控制,较为隐蔽)
2web入侵主要是:Webshell、主页篡改、网页挂马、XSS、CSRF、SSRF、SQL注入
3网络攻击主要是:DDOS攻击、DNS劫持、ARP欺骗

二、Linux入侵排查

2.1、检查系统的账户信息

 2.1.1、检查账号信息

        主要是查看Linux服务器上的所有账号内容是否存在未知账号,然后与该Linux主机相关人员一起确认;但需要注意账号文件中尾部带有【nologin】表示只能本机登录不能远程登录,其余的则可以远程登录。

1、查看所有的账号信息

cat /etc/passwdmore /etc/passwd

 Linux账号信息说明

Linux账号信息说明
序号Linux账号信息名称说明
1用户名称

表示Linux系统登录标识的用户名称

2密码占位符在以前,这个内容是用作存储用户的密码,目前是通常使用x或*占位,表示该账号对应的加密密码已经存储在/etc/shadow文件中了
3用户ID表示每个用户唯一的数字标识符,简称UID
4组ID表示每个用户属于的主组,简称GID
5用户描述表示对账号内容的描述,可包含用户的全称或其他描述性内容
6家目录表示用户登录后进入的目录
7登录之后的shell表示用户登录后启动的shell

了解Linux账户的信息地址【如何在Linux中查看和理解/etc/passwd文件】

新增用户内容【Linux 中的 useradd 命令及示例 - Linux 命令行教程】

用户密码操作内容【Linux 中的 Passwd 命令:8 个实际示例】

 2、查看所有可远程登录的用户

cat /etc/passwd | grep '/bin/bash'

3、查看所有只能本机登录的用户

cat /etc/passwd | grep '/sbin/nologin'

2.1.2、 查看密码信息

1、查看影子文件对应的账号密码信息

cat /etc/shadow

Linux的密码信息说明

Linux密码信息内容补充说明
序号Linux密码信息内容名称说明
1用户名与账号信息名称一致
2加密密码

是账号对应的密码(该密码采用双层加密的(加密和加盐),不易破解);该内容若为空则表示没有密码可直接登录;

注意:

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com