Linux入侵溯源分析分系統、服務、文件、網絡四個部分,分析思路如下圖所示。
系統
針對Linux系統層面,我們主要關注以下內容:
服務
服務漏洞檢查
操作系統都會提供各種服務,而提供服務就存在被入侵的可能,惡意的服務會開啟進程,因此需要對服務及進程進行檢測。若對外開放的某個服務存在漏洞,攻擊者利用該漏洞獲得服務器的部分權限,進而控制整個系統。因此需要仔細查看該機器上運行的服務。根據運行的服務,推測入侵途徑。一般來說,互聯網提供得最多的服務便是Web服務,因此,需要對Web服務進行排查,但也可能提供其他服務,例如SSH、MySQL等,因此,針對不同的服務,做不同的排查。
惡意進程排查
攻擊者只有新開一個進程才能實施攻擊。根據惡意進程,定位病毒/木馬的位置。下載樣本到本地,取樣分析,確定攻擊軌跡和危害并且殺死進程清理病毒。
敏感目錄排查
與Windows系統中一樣,在Linux中,黑客入侵服務器為了維持權限,也會留下后門文件以便再次入侵,而且后門文件一般會比較隱蔽,難以查找,因此需要排查敏感目錄,找到可疑文件進行分析。
病毒/木馬檢測
取樣分析
回答所涉及的環境:浪潮英信NF5280M5、CentOS7.0.140。
Linux入侵溯源分析分系統、服務、文件、網絡四個部分,分析思路如下圖所示。
系統
針對Linux系統層面,我們主要關注以下內容:
服務
服務漏洞檢查
操作系統都會提供各種服務,而提供服務就存在被入侵的可能,惡意的服務會開啟進程,因此需要對服務及進程進行檢測。若對外開放的某個服務存在漏洞,攻擊者利用該漏洞獲得服務器的部分權限,進而控制整個系統。因此需要仔細查看該機器上運行的服務。根據運行的服務,推測入侵途徑。一般來說,互聯網提供得最多的服務便是Web服務,因此,需要對Web服務進行排查,但也可能提供其他服務,例如SSH、MySQL等,因此,針對不同的服務,做不同的排查。
惡意進程排查
攻擊者只有新開一個進程才能實施攻擊。根據惡意進程,定位病毒/木馬的位置。下載樣本到本地,取樣分析,確定攻擊軌跡和危害并且殺死進程清理病毒。
敏感目錄排查
與Windows系統中一樣,在Linux中,黑客入侵服務器為了維持權限,也會留下后門文件以便再次入侵,而且后門文件一般會比較隱蔽,難以查找,因此需要排查敏感目錄,找到可疑文件進行分析。
病毒/木馬檢測
取樣分析
回答所涉及的環境:浪潮英信NF5280M5、CentOS7.0.140。