服务器入侵应急处置流程
入侵确认与初步响应
通过监控系统、日志异常或用户报告发现入侵迹象后,立即启动应急响应预案。隔离受影响服务器,断开网络连接防止横向渗透。记录时间戳、异常行为特征等关键信息。
关键日志收集与分析
- 系统日志 :检查
/var/log/auth.log、/var/log/secure等登录记录,排查异常IP或时间段的SSH/RDP登录 - 进程日志 :通过
ps auxf、top或htop查看异常进程,结合netstat -tulnp分析网络连接 - 文件审计 :使用
find / -mtime -1查找24小时内被修改的文件,重点关注/etc/passwd、/etc/shadow等敏感文件
恶意文件检测与清除
- 使用
rkhunter、chkrootkit进行Rootkit检测 - 通过
clamscan -r /全盘扫描恶意软件 - 对比文件哈希值:
sha256sum 可疑文件与备份版本比对
网络流量分析
- 检查防火墙规则:
iptables -L -n -v - 分析抓包数据:
tcpdump -i eth0 -w capture.pcap保存流量后使用Wireshark分析 - 查看历史连接:
lastlog、lastb检查失败登录尝试
入侵溯源方法
- 时间线重建 :通过
auditd日志或/var/log/*构建事件时间轴 - 攻击路径还原:分析漏洞利用痕迹(如Webshell上传路径、漏洞利用代码片段)
- 威胁情报关联:将发现的IoC(如C2服务器IP、恶意文件哈希)与公开威胁情报库比对
系统恢复与加固
- 从干净备份恢复系统,确保备份未被污染
- 修补已发现的漏洞(如未更新的软件漏洞)
- 实施最小权限原则,关闭非必要服务
- 部署HIDS(如OSSEC)增强监控能力
事后报告与改进
- 编制详细的事件报告,包括攻击向量、影响范围、处置措施
- 更新应急预案,加强员工安全意识培训
- 建立定期安全审计机制,完善监控告警系统
常用命令速查表
bash
# 检查可疑SUID文件
find / -perm -4000 -type f -exec ls -la {} \;
# 检测隐藏进程
ps -ef | awk '{print $2}' | sort -n | uniq -c | awk '$1>1'
# 分析SSH暴力破解
grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c注意事项
- 所有取证操作需在离线环境中进行,避免破坏证据链
- 法律合规性:确保操作符合当地网络安全法律法规
- 敏感数据需加密存储,防止二次泄露