1.查询windows登录异常日志:win+R,输入eventvwr.msc进入事件管理器,查看日志安全。最重要的事件ID包括:4624(登录成功);4625(登录失败);4672(特殊权限登录)
2.文件共享 :一个文件在网络上的访问权限由共享权限和NTFS权限中最严格的决定
3.IDS和IPS的核心差异:IDS入侵检测系统,只检测并告警,不阻断流量。IPS入侵防御系统,检测到威胁后实时切断流量。
4.堡垒机:负责管理运维人员对核心服务器的访问,遵循最小权限原则。
5.上网行为管理:负责监控管理和控制内部员工所有互联网访问行为。
6.日志审计:集中收集所有it设备的日志的平台。
7.等保:
信息安全等级保护制度,分为一级:自主保护级;二级指导保护级;三级:监督保护级;四级:强制保护级;五级:专控保护级。
工作流程:定级-备案-整改-测评-监管
一个中心(安全管理中心),三重防护(安全区域边界;安全通信网络;安全计算环境)
8.**安全加固包括:**系统加固(windows server;linux)和应用加固(数据库加固;web服务器加固;中间件加固)。
加固思路:-账户管理-授权管理-访问控制-日志审计- 减少暴露面-使用防火墙-升级补丁(关注CVND和CVE网站)
**windows服务器的加固:1.查看用户组:**输入lusrmgr.msc查看本地用户和组,关注几个重要的组成员。administrators,backup,guests,poweruser,user
**2.密码策略:**设置一些安全密钥要求
3.账户锁定策略:管理账户
4.授权管理:禁用系统未登录即可关闭
5 .日志属性存档: 日志满时将其存档
6.收缩暴露面:对服务进行审核,主要考察对外开放的端口。 netstat -ano | findstr LISTEN .关掉不用的端口
7.开启防火墙;
8.设置屏保密码,设置开启时间等
9.更新补丁:systeminfo
**Linux系统加固: 1.账号管理 :**查看账号 cat/etc/passwd |grep /bin/bash
删除过期账号 userdel -rf username
删除过期的组groupdel groupname
锁定用户;解除用户 passwd -l ;-u username
设置密码策略:修改/etc/login.defs
密码最大有效天数,最小有效天数,密码最小长度,密码失效前提示的时间,修改密码的复杂度
设置账户锁定策略:修改/etc/pam.d/system-auth
终端超时配置
2**. 权限管理 :**初始化文件权限;限制su到root(只允许wheel组成员能使用),控制sudo权限,确保只有root能;
3**.日志审计**:日志文件;查看日志配置文件
4.收缩暴露面 :查看服务的状态;ssh服务加固(配置文件在/etc/ssh/sshd.config)(修改默认端口port =1223;禁止root用户远程登录(不推荐);允许tester远程登录;屏蔽banner;绑定ip,指定的ip才可以访问ssh,需要修改/etc/hosts.allow;禁止其他的ip访问ssh服务;使用私钥登录ssh;)
**5.启用防火墙:**查看防火墙状态systemctl status firewalld;添加防火墙规则
**6.其他加固:**history 命令配置
加固小结:企业中进行安全加固任务的步骤,1.圈定工作范围:调查哪些设备需要进行加固,使用标准表格对设备的信息进行记录。2.指定加固方案:进一步细化需要加固的内容和目标
3.小组评审:将方案提交给工作小组进行评审。4.评审通过,执行加固方案。5.验证加固的效果。6.生成安全加固的实施报告
数据库加固:
应用服务器加固:
**9.入侵排查 :**发现系统被入侵后,对系统进行权限维持的排查,从而恢复系统的安全水平
排查思路:1.账户排查 (排查弱口令;可疑账号;隐藏账号;克隆账号)。2异常端口和对应进程。3.定时任务排查。4.自启动项(windows:自启动项;启动目录;注册表;自动运行程序。linux:自启动脚本;自启动目录;开机自启服务器)5.日志分析。6.文件分析。7Linux历史命令。8利用杀毒软件。
**10.病毒分类:**蠕虫病毒;勒索病毒;木马病毒;挖矿病毒;
排查处理(当内网服务器不断向境外ip发送主动连接,初度判断是蠕虫(conficker病毒)--处理:在出口防火墙查看内网ip,找到该服务器,使其从内网隔开,登录该服务器,启动杀毒软件检查哪个进程在发送请求,找到后进一步定位进程启动的可执行程序或动态链接库DDL,获取样本,将样本提交到在线的杀毒平台或者沙箱中(云沙箱),关注病毒执行过程,根据沙箱信息,清楚病毒留下后门,如果没有后门,直接使用杀毒软件进行全盘查杀,如果普通查杀没有用,使用专门的查杀。)
总结:主要都是查看症状,找到异常进程,想办法获取到样本,提交到云沙箱检查,制定清除方案,执行并进行安全加固,最后检测结果。
1.linux入侵排查:一:由于一台服务器发生告警----查看报警信息,判断类型是一个挖矿脚本。
二:排查过程:登录服务器,进行排除,使用netstat命令查看端口连接情况,查看ip地址,使用top,命令查看系统中各个进程的资源占用情况(如果资源占用不高),使用uptime命令查看系统负载,由此分析恶意进程可能被隐藏了,所以top查看不到,猜测恶意进程修改了centos的动态链接库配置文件Id.so.preload内容,查看该配置文件(该文件修改后能隐藏进程),尝试修改改文件名使服务器不执行该配置文件,发现不能修改,则使用lsattr查看文件隐藏属性,发现有i(不能进行任何修改,为关键文件加锁)和a(只能以追加模式编辑)属性,于是使用chattr修改属性,拿掉i和a,将文件重命名。再用top查看时,发现CPU使用极高,尝试使用kill -9 杀掉该进程,会发现结束该进程后,又会换一个PID启动,使用ps查看该进程发现该进程的存放目录,查看定时任务crontab -l判断是否为定时任务启动,再查看开启自启服务器,发现启动的就是该进程的存放目录,停止该服务。重新使用top查看,发现还有之前写入的Id.so.proload的隐藏恶意进程,将其服务自启关闭,最后使用top和uptime查看系统已恢复。
三:溯源:查看登录日志,比对登录成功和失败的账户。发现不是暴力破解,在分析该台服务器上的部署任务,发现该台服务器是因为服务器写入了下载恶意脚本并执行的定时任务。
四:后续处理:删除恶意服务-删除/etc/systemd/system下的服务,删除恶意服务的连接文件,删除该恶意文件下的启动目录下的恶意文件,在删除/tmp下的恶意文件(都删了都没问题)。在查看用户,发现新用户,查看/home目录,删除新加的目录,。最后进行安全加固(更换强密码,监听固定端口,更改默认端口)
总结:linux入侵排查的实操 1.原因:安全云平台发出安全告警
2.分析告警:初步定位和判断攻击类型
3.查找异常进程:top,uptime,lsattr,chattr,如何排查隐藏进程
4.制定清除方案,由于是多进程守护病毒,且是自启动服务。所以禁用自启动,停止服务器。 5.溯源:查找定位病毒是通过什么途径进入到系统
6.入侵排查:删除所有留下权限维持的手段,恢复受到影响的数据(可选),进行安全加固。 7.验证排查和加固的结果是成功的