MENU

安全应急姿势

October 23, 2017 • Security

0x01 日志分析

特征

攻击扫描

egrep '(select|script|acunetix|sqlmap)' /var/log/httpd/access_log

访问频次

grep 'POST' /var/log/httpd/access_log | awk '{print $1}' | sort | uniq -c | sort -nr

Content-Length

awk '{if($10>5000000){print $0}}' /var/log/httpd/access_log

SSH服务

登录成功:

grep 'Accepted' /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr

或者使用last,它会读取位于/var/log/wtmp的文件

登录失败:

grep 'Failed' /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr

或者使用lastb,会读取位于/var/log/btmp的文件

注:直接使用vim查看编辑文件内容会更改文件的mtime

工具

0x02 History

History会记录历史指令内容

添加命令时间戳

默认的history仅记录执行的命令,然而这些对于应急来说是不够的,可以通过修改让历史记录中显示命令执行的时间

hist

export HISTTIMEFORMAT=’%F %T ‘,配置写在/etc/profile中,让历史记录中显示命令执行的时间,或者/home/$USER/.bash_profile配置指定用户。

etc

执行source /etc/profile使配置立即生效,效果如图:

history

参见:http://www.rinige.com/index.php/archives/787/

0x03 站点页面被篡改

  1. 恢复正常页面
  2. 使用stat命令查看被篡改页面文件记录更改时间及用户等信息
  3. 分析accesslog查看页面被篡改时间、可疑Web后门文件及操作IP等信息
  4. 查找其余可能被篡改页面或者文件:find ./ -mtime 0 -name "*.jsp",其余参见步骤6
  5. 使用stat命令查看Web后门文件记录时间及操作用户等信息
  6. 查找其余可疑Web后门文件,WebShell查杀可以使用:D盾Web查杀ScanBackdoorWEBDIR+河马WebShell查杀等工具。还可以通过查找操作IP的所有请求记录,通过时间查找:`find
    /data/wwww –mtime -1 –type f,通过后门特征字符串查找:find /|xargs grep -ri
    "phpspy" -l 2>/data/www`
  7. 分析accesslog判断入侵方式,可以使用360星图等日志分析工具
  8. 修复漏洞

0x04 非Web后门查杀

  1. 记录文件stat信息
  2. 使用netstat -anltp命令查看到当前连接信息及建立连接的进程pid(例如反弹bash),kill可疑连接进程。已知进程pid可以执行`ls
    -al /proc/pid值`通过对应位置查找后门文件路径
  3. 通过ps aux命令检查是否存在其他可疑进程
  4. 检查其余目录下是否存在后门文件,敏感目录:/tmp/var/tmp/dev/shm,环境目录对比:diff -r {生产dir} {测试dir}
  5. 通过mtime及特征字符串查找是否存在其他后门文件,参见:站点页面被篡改步骤6
  6. 检查etc/rcX.d/、/var/spool/cron/crontabs//etc/cron.X/等目录下及/etc/rc.local/etc/crontab等文件判断是否有恶意程序被添加至启动项
  7. 结合后门的创建用户权限,根据该权限启动服务推断入侵途径,如果没有root启动且对外的服务,通过root权限创建的后门多半为通过其他方式(高危服务)进入并提权获取rootshell
  8. 检查SSH后门可以通过比对ssh的版本:ssh -V、查看ssh配置文件和/usr/sbin/sshd的时间:stat /usr/sbin/sshd、strings检查/usr/sbin/sshd是否有发送信息、strace监控sshd进程读写文件的操作(参见:参考2第二小节)等方式
  9. 检查命令替换可以通过rpm自带的-Va来校验所有的rpm软件包,有哪些被篡改了。也可以通过比对命令的大小及查看命令的修改时间:ls -alt /bin/ | head -n 5等方式来
  10. 检测是否被种rootkit可以使用:rkhunterchkrootkit等工具,如果系统被植入了rootkit应在止损完成后迁移部署服务,最后下线主机
  11. 查找后门文件的C&C服务器(IP/域名),二进制文件一般可通过strings命令查看。然后修改iptables或者/etc/hosts文件等方式限制连接
  12. 修复漏洞

0x05 扩展

0x06 参考

Archives QR Code
QR Code for this page
Tipping QR Code