Linux主机安详搜查与应急相应
|
副问题[/!--empirenews.page--]
我们在做主机安详搜查或安详变乱处理时,停止不了要去搜查体系的安详环境。在举办Linux安详搜查时,必要行使相干的剧本对体系的安详环境举办全面说明,一方面必要尽也许的网络体系的相干信息,另一方面在数目较多的时辰尽也许的进步服从。
因为在多次的安详搜查中碰着搜查时都是几十台处事器要做一个全面搜查的环境,假如人工手写剧本的话,一方面服从较低另一方面必要安详搜查者认识所必要搜查的项。 在这种环境下,本人写了一个Linux安详搜查的剧本,该剧本首要在以了局景行使:
该剧本完成有一段时刻,最近在应急相应群里接头,发明这块的安详搜查是各人的一个强需求,因此把该搜查剧本共享给各人,共享的目标首要以两个:一是进步各人在Linux安详搜查时的服从,开释各人的精神;另一方面但愿各人在行使的进程中可以不绝地发明题目,不绝的总结缺傲幽安详搜查项,帮忙完美该搜查剧本。以是各人在行使进程中有任何题目或提议接待实时同步给我。 一、搜查内容 1. 整体框架 关于Linux安详搜查,这内里我总结首要必要搜查以下内容: (1) 体系安详搜查(历程、开放端口、毗连、日记等) 这一块是今朝小我私人该剧本所实现的成果; (2) Rootkit 提议行使rootkit专杀器材来搜查,如rkhunter; (3) Webshell 这一块查杀技能难度相对较高,不是本剧本所必要实现的成果,针对这一块的搜查可以行使D盾来搜查 (Linux下可以将web目次挂载到Windows下举办搜查); (4) Web日记 (5) 流量 这一块首要偏重主机的恒久的流量说明,今朝小我私人行使tshark实现了基本的流量说明,后期会举办响应的完美。流量这一块可以提取流量五元组、DNS流量、HTTP流量再团结威胁谍报的数据举办深度说明。这个后期小我私人会举办相干的实行,也许的话会举办响应内容的分享。 2. 体系安详搜查框架
二、成果实现 1. 成果计划
今朝到V1.2版本,后期完美V1.3相干的成果。 其它,操纵上可以实现一键举办安详搜查,并将搜查后的功效生涯到本机。只必要在hosts文本中输入响应的IP、账号、暗码。操纵上人工参加最小化。 2. 各剧本成果声名 下载后相干整个剧本的目次布局如下所示:
下面针对个中部门剧本举办先容。 (1) Checkrules 判定逻辑首要放在两个文件中:一个是checkrules中,名目为dat,这内里提议将较量伟大的判定逻辑放在这里,如下面的TCP伤害端口这块,由于较量多,假如放在buying_linuxcheck.sh中则代码有些冗长,下面是TCP高危端口的判定逻辑,首要照旧按照木马默认行使的端标语,这内里判定的逻辑相对简朴,也许会存在误报的环境,所往后续必要人工参与说明。
(2) buying_linuxcheck.sh 焦点的成果网络与判定逻辑,较量简朴的判定逻辑可以放在这内里举办判定。
三、行使 行使较量简朴,将本剧本拷贝到本身一台Linux主机上,可以行使假造机,将必要被搜查的处事器的IP、账号、暗码放到hosts.txt目次中,直接运行即可实现一键安详搜查。 相干操纵 (1) 将必要被搜查的处事器IP、账号、暗码写入到hosts.txt文件中,名目为:
个中user为平凡用户的账号,port为ssh登录端口,uesrpassword为平凡账号的暗码,rootpassword为root的暗码,只以是加个平凡用户是由于有的体系做了安详计策,不应承root直接登录,假如被搜查的处事器应承root直接登录,可以直接把user和userpassword写成root以及root暗码。
这内里被搜查的处事器应承root直接登录,因此直接写root账号和暗码。 (2) 运行安详搜查剧本:sh login.sh 安详搜查剧本就在靠山运行了,稍等…….
(3) 看到删除长途处事器上的搜查剧本与搜查功效,就声名搜查竣事了。
(4) 搜查竣事后,会将长途处事器上的功效生涯到当田主机上:
四、搜查功效声名 搜查竣事后,将响应的功效解压后目次布局如下所示:
1. Check_file 生涯的是搜查的最终功效,长这个样子……
2. Log (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
