收藏~Linux 應(yīng)急響應(yīng)技巧
Linux環(huán)境下處理應(yīng)急響應(yīng)事件往往會更加的棘手,因為相比于Windows,Linux沒有像Autorun、procexp這樣的應(yīng)急響應(yīng)利器,也沒有統(tǒng)一的應(yīng)急響應(yīng)處理流程。
所以,這篇文章將會對Linux環(huán)境下的應(yīng)急響應(yīng)流程進行講解,并且提供每一個環(huán)節(jié)中所用到的shell命令,以幫助大家快速、系統(tǒng)化地處理Linux環(huán)境下的病毒。
處理Linux應(yīng)急響應(yīng)主要分為這4個環(huán)節(jié):識別現(xiàn)象-> 清除病毒-> 閉環(huán)兜底-> 系統(tǒng)加固。??
首先從用戶場景的主機異常現(xiàn)象出發(fā),先識別出病毒的可疑現(xiàn)象。??然后定位到具體的病毒進程以及病毒文件,進行清除。??
完成前2步還不夠,病毒一般會通過一些自啟動項及守護程序進行重復(fù)感染,所以我們要執(zhí)行閉環(huán)兜底確保病毒不再被創(chuàng)建。??
將主機上的病毒項清除干凈后,最后就是進行系統(tǒng)加固了,防止病毒從Web再次入侵進來。??
走完這4個環(huán)節(jié),才能算是一個應(yīng)急響應(yīng)流程的結(jié)束。
第1個環(huán)節(jié)要求我們通過系統(tǒng)運行狀態(tài)、安全設(shè)備告警,發(fā)現(xiàn)主機異常現(xiàn)象,以及確認病毒的可疑行為。??
系統(tǒng)CPU是否異常??
枚舉進程,CPU降序排序:top ?
CPU占用率超過70%且名字比較可疑的進程,大概率就是挖礦病毒了。
是否存在可疑進程??
枚舉進程命令行:ps -aux ?
病毒一般都攜帶可疑的命令行,當你發(fā)現(xiàn)命令行中帶有url等奇怪的字符串時,就要注意了,它很可能是個病毒downloader。
安全網(wǎng)關(guān)有無報警
從安全網(wǎng)關(guān)報警中識別出威脅是最直接,但確認主機已經(jīng)感染了病毒只是第一步,接下來得定位,具體是哪個進程在與C&C通信。??
監(jiān)控與目標IP通信的進程:??
while true; do netstat -antp | grep [ip]; done??
有時安全網(wǎng)關(guān)檢測到的不全是惡意IP,還有可能是個域名,這種情況下,域名對應(yīng)的IP是變化的,我們不能直接用上述方法進行監(jiān)控。??
我們可以先在host文件中添加一條規(guī)則,將惡意域名重定向到一個隨機的IP地址,然后對其進行監(jiān)控。??
這樣就能得到與之通信的惡意進程了。
有無可疑歷史命令
遍歷主機歷史命令,查找有無惡意命令:history
從第1個環(huán)節(jié)追溯到的進程信息,將會幫助我們定位到病毒進程&病毒文件,實現(xiàn)清除。
結(jié)束病毒進程
清除可疑進程的進程鏈:
?ps -elf | grep [pid] kill -9 [pid]
刪除病毒文件
定位病毒進程對應(yīng)的文件路徑:
?ls -al /proc/[pid]/exe rm -f [exe_path]
Linux下的病毒持久化駐留方式相比于Windows較少,主要以下4種方式。
檢查是否存在可疑定時任務(wù)
枚舉定時任務(wù):crontab-l ?
查看anacron異步定時任務(wù):cat/etc/anacrontab
檢查是否存在可疑服務(wù)
枚舉主機所有服務(wù),查看是否有惡意服務(wù):
?service--status-all
檢查系統(tǒng)文件是否被劫持??
枚舉系統(tǒng)文件夾的文件,按修改事件排序查看7天內(nèi)被修改過的文件:
?find /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime +7 | xargs ls -la
檢查是否存在病毒守護進程??
監(jiān)控守護進程的行為:lsof-p[pid]
掃描是否存在惡意驅(qū)動
枚舉/掃描系統(tǒng)驅(qū)動:lsmod ?
安裝chkrootkit進行掃描:
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gztar zxvf chkrootkit.tar.gzcd chkrootkit-0.52make sense./chkrootkit
打上常見Web漏洞補丁
structs2系列RCE漏洞??
thinkphp5.XRCE漏洞??
Redis未授權(quán)訪問漏洞??
ConfluenceRCE漏洞(CVE_2019_3396)??
DrupalRCE漏洞(CVE-2018-7600)??
ThinkPHPRCE漏洞(CVE-2019-9082)
Linux平臺下的惡意軟件威脅以僵尸網(wǎng)絡(luò)蠕蟲和挖礦病毒為主,由于Linux大多作為服務(wù)器暴露在公網(wǎng),且Web應(yīng)用的漏洞層出不窮,所以很容易被大范圍入侵。
常見的病毒:DDG、systemdMiner、BillGates、watchdogs、XorDDos,在很多Linux上都有。
所以,你一定要養(yǎng)成不使用弱密碼、勤打補丁的好習(xí)慣。
有收獲,點個在看?
