Linux服务器安全事件应急响应排查方法总结

Lux是服务器操作系统中最常用的操作系统，因为其拥有高性能、高扩展性、高安全性，受到了越来越多的运维人员追捧。针对Lux服务器操作系统的安全事件也非常多的。攻击方式主要是弱口令攻击、远程溢出攻击及其他应用漏洞攻击等。我的VPS在前几天就遭受了一次被恶意利用扫描其他主机SSH弱口令安全问题。以下是我针对此次攻击事件，结合工作中Lux安全事件分析处理办法，Lux安全应急响应过程中的分析方法。

一、分析原则

1.重要数据先备份再分析，尽量不要在原来的系统中分析；
2.已经被入侵的系统都不再安全，如果条件允许最好采用第三方系统进行分析

二、分析目标

1.找到攻击来源IP
2.找到入侵途径
3.分析影响范围
4.量化影响级别

三、数据备份采集

1.痕迹数据永远是分析安全事件最重要的数据

在分析过程中，痕迹数据永远是最重要的数据资料。所以第一件事自然是备份相关痕迹数据。痕迹数据主要包含如下几点

1.系统日志message、secure、cron、mail等系统日志；
2.应用程序日志Apache日志、Ngx日志、FTP日志、MySQL等日志；
3.自定义日志很多程序开发过程中会自定义程序日志，这些日志也是很重要的数据，能够帮我们分析入侵途径等信息；
4.bash_history这是bash执行过程中记录的bash日志信息，能够帮我们查看bash执行了哪些命令。
5.其他安全事件相关日志记录

分析这些日志的时候一定要先备份，我们可以通过tar压缩备份好，再进行分析，如果遇到日志较大，可以尽可能通过splunk等海量日志分析工具进行分析。以下是完整备份var/log路径下所有文件的命令，其他日志可以参照此命令

复制代码