解放碑电子商务网站建设,用户中心网站设计,属于软件开发工具的是,苏州网站建设万户本文的重点是介绍如何鉴别安全事件以及保护现场的方法#xff0c;以确保服务器负责人能够在第一时间对安全攻击做出反应#xff0c;并在最短时间内抵御攻击或减少攻击所带来的影响。
在服务器遭遇疑似安全事件时#xff0c;通常可以从账号、进程、网络和日志四个主要方面进…本文的重点是介绍如何鉴别安全事件以及保护现场的方法以确保服务器负责人能够在第一时间对安全攻击做出反应并在最短时间内抵御攻击或减少攻击所带来的影响。
在服务器遭遇疑似安全事件时通常可以从账号、进程、网络和日志四个主要方面进行评估和分析以判断事件的性质。如果需要联系安全部门来解决问题保护现场就变得至关重要以确保能够获取到关键信息而不受其他杂乱情况的干扰。
一、检查是否存在异常账号和异常登录linux
1、cat /etc/passwd和/etc/group可以看到当前系统中的所有用户和所有的用户组信息通过查看来发现是否被添加了异常账号
cat /etc/passwd 如果在上一步中获得了一个异常的用户名tss可以使用以下方法对该用户进行详细检查
1. 查看用户的历史登录信息使用命令last tss来查看该用户的登录历史记录。 2. 查看用户的登录失败信息使用命令lastb tss来查看该用户的登录失败记录。
3. 进入用户的家目录并查看家目录下的账号文件夹使用命令cd /home进入家目录然后使用命令ll来列出该目录下的文件夹以查看哪些文件夹对应着不同的账号。
2、查看当前登录的用户,ip以及正在执行的命令: w
3、有时候可以使用命令ps -ef | grep ssh来发现伪登录方式 伪登录方式指的是无法通过last命令发现的登录方式。 对于Windows系统 1. 使用服务器管理器界面操作打开服务器管理器选择配置然后选择本地用户和组在用户选项卡下查看用户列表。
2. 使用命令方式schtasks注意由于编码方式不同直接输入schtasks命令可能会报错提示无法加载列资源。在这种情况下需要先查看命令提示符(cmd)的编码方式使用命令chcp来调整编码方式。例如将编码方式从936中文编码改为437美国编码然后再运行schtasks命令。但是请注意这样做可能无法打印出非ASCII字符。
二、检查定时任务Linux通过计划任务来查看是否存在定时任务
对于黑客使用定时任务触发相应程序的情况可以按照以下方法进行检查
1. Linux系统
- 查看计划任务文件检查/etc/crontab以及目录下的/etc/cron.*文件包括cron.d/ cron.daily/ cron.hourly/ cron.monthly/ cron.weekly/等。 - 检查启动项使用命令systemctl list-unit-files --typeservice来查看系统服务的启动项。
2. Windows系统
- 界面操作打开开始菜单运行msconfig.exe在启动选项卡下查看启动项。 - 命令方式使用命令wmic startup list full来列出启动项。
三、 检查进程 1. Linux系统
使用命令top查看正在运行的程序所占用的资源或者使用命令ps axu列出当前系统的进程及其资源情况。
2. Windows系统
界面操作可以打开任务管理器来查看运行中的进程或者使用命令tasklist来列出进程。
四、 检查系统服务
- Windows系统界面操作可以运行services.msc来查看系统服务或者使用命令sc query来查询系统服务。
五、 检查网络连接
1. Linux系统
检查/etc/hosts和/etc/resolv.conf文件是否有异常更改使用命令netstat -a来查看网络连接情况。 2. Windows系统
使用命令netstat -a来查看网络连接情况。
六、 检查历史记录
- 通过使用history命令来查看系统上执行过的命令。
七. 保护现场 - 如果条件允许可以先对服务器进行快照以保存当时的情况防止系统在短时间内崩溃或被篡改。 - 如果可以断网建议先断开网络连接以防止黑客进行进一步攻击。 - 使用安全传输方式如sftp将日志文件传输到本地或其他安全的服务器包括/var/log/下的日志文件如messages、kern.log、secure、cron等以及用户文件如/etc/passwd、/etc/shadow、/etc/group等可疑文件和后门文件。 - 如果能确定入侵时间可以使用find命令查找最近时间段内变化的文件并将这些文件进行打包发送例如查找5月9日15:08变化的所有python文件
find / -type f -name *.py -newermt 2023-05-09 15:08:00 ! -newermt 2023-05-09 15:09:00 -exec tar -cvzf python_files.tar.gz {}
