网安-应急响应

最新推荐文章于 2025-12-04 17:39:28 发布

原创

最新推荐文章于 2025-12-04 17:39:28 发布 · 787 阅读

11 ·

CC 4.0 BY-SA版权

文章标签：

#网络 #服务器 #linux #网络安全

安全事件分类

1.木马后门事件
2.异常登录事件
3.钓鱼邮件事件
4.漏洞攻击事件
5.暴力破解事件
6.数据窃取事件
7.拒绝服务事件

安全事件分级

一级事件演习目标被控制，安全红色预警，一级响应
二级事件重要系统或设备被控制，安全红色预警，一级响应
三级事件内网一般设备被控制，安全橙色预警，二级响应
四级事件 DMZ区一般设备被控制，安全橙色预警，三级响应
五级事件 DMZ区设备遭到攻击或内网终端遭到攻击，安全黄色预警，三级响应

应急响应流程（常规）

1.信息收集
2.类型判断
3.原因分析
4.事件处置
5.编写报告

Linux被入侵症状

排查点

1.系统资源 2.进程3.网络连接 4.系统用户5.日志
6.历史命令7.SSH Key 8.系统命令和别名篡改9.启动项 10.定时任务

1-系统资源

CPU：

top -c -o %CPU
ps -aux --sort=-pcpu|head -10

内存：

free -m
top -c -o %MEM

磁盘：

df -Th

2-进程：

ps -ef
ps -aux grep “name”
pidof “name”
pstree （需要安装）

3-网络连接

lsof -i
netstat -antpl
-a: 显示所有连接，包括正在监听的和非监听的连接。
-n: 使用数字形式显示地址和端口号，而不进行域名解析。
-t: 仅显示TCP协议的连接。
-p: 显示建立相关连接的进程ID（PID）和进程名称。
-l: 仅显示正在监听的连接。
iptables -L

威胁情报

https://x.threatbook.com/

4-系统用户

/etc/passwd
/etc/shadow
awk -F: ‘$3==0{print $1}’ /etc/passwd （以冒号为分隔符，第三位是0的用户）
who (查看当前登录的用户)
w(显示已登陆的用户，且在执行的命令)
last (查看登录成功的用户)
lastb(查看最近登录失败的用户)
lastlog (查看所有用户最近登录的时间)

5-审计日志

日志	文件
整体日志	/var/log/message
登录注销日志last	/var/log/wtmp
登录日志lastlog	/var/log/lastlog
登录失败日志lastb	/var/log/btmp
当前用户w,who,users	/var/log/utmp
定时任务日志	/var/log/cron</