日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
Linux主機(jī)安全檢查與應(yīng)急響應(yīng)

我們?cè)谧鲋鳈C(jī)安全檢查或安全事件處置時(shí),避免不了要去檢查系統(tǒng)的安全情況。在進(jìn)行Linux安全檢查時(shí),需要使用相關(guān)的腳本對(duì)系統(tǒng)的安全情況進(jìn)行全面分析,一方面需要盡可能的收集系統(tǒng)的相關(guān)信息,另一方面在數(shù)量較多的時(shí)候盡可能的提高效率。

為準(zhǔn)格爾等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計(jì)制作服務(wù),及準(zhǔn)格爾網(wǎng)站建設(shè)行業(yè)解決方案。主營(yíng)業(yè)務(wù)為網(wǎng)站制作、成都網(wǎng)站制作、準(zhǔn)格爾網(wǎng)站設(shè)計(jì),以傳統(tǒng)方式定制建設(shè)網(wǎng)站,并提供域名空間備案等一條龍服務(wù),秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達(dá)到每一位用戶的要求,就會(huì)得到認(rèn)可,從而選擇與我們長(zhǎng)期合作。這樣,我們也可以走得更遠(yuǎn)!

[[266248]]

由于在多次的安全檢查中遇到檢查時(shí)都是幾十臺(tái)服務(wù)器要做一個(gè)全面檢查的情況,如果人工手寫腳本的話,一方面效率較低另一方面需要安全檢查者熟悉所需要檢查的項(xiàng)。

在這種情況下,本人寫了一個(gè)Linux安全檢查的腳本,該腳本主要在以下場(chǎng)景使用:

  • Linux主機(jī)安全檢查時(shí);
  • Linux主機(jī)發(fā)生安全事件需要全面分析時(shí)。

該腳本完成有一段時(shí)間,最近在應(yīng)急響應(yīng)群里討論,發(fā)現(xiàn)這塊的安全檢查是大家的一個(gè)強(qiáng)需求,因此把該檢查腳本共享給大家,共享的目的主要以兩個(gè):一是提高大家在Linux安全檢查時(shí)的效率,釋放大家的精力;另一方面希望大家在使用的過程中可以不斷地發(fā)現(xiàn)問題,不斷的總結(jié)缺少的安全檢查項(xiàng),協(xié)助完善該檢查腳本。所以大家在使用過程中有任何問題或建議歡迎及時(shí)同步給我。

一、檢查內(nèi)容

1. 整體框架

關(guān)于Linux安全檢查,這里面我總結(jié)主要需要檢查以下內(nèi)容:

(1) 系統(tǒng)安全檢查(進(jìn)程、開放端口、連接、日志等)

這一塊是目前個(gè)人該腳本所實(shí)現(xiàn)的功能;

(2) Rootkit

建議使用rootkit專殺工具來檢查,如rkhunter;

(3) Webshell

這一塊查殺技術(shù)難度相對(duì)較高,不是本腳本所需要實(shí)現(xiàn)的功能,針對(duì)這一塊的檢查可以使用D盾來檢查 (Linux下可以將web目錄掛載到Windows下進(jìn)行檢查);

(4) Web日志

(5) 流量

這一塊主要側(cè)重主機(jī)的長(zhǎng)期的流量分析,目前個(gè)人使用tshark實(shí)現(xiàn)了基礎(chǔ)的流量分析,后期會(huì)進(jìn)行相應(yīng)的完善。流量這一塊可以提取流量五元組、DNS流量、HTTP流量再結(jié)合威脅情報(bào)的數(shù)據(jù)進(jìn)行深度分析。這個(gè)后期個(gè)人會(huì)進(jìn)行相關(guān)的嘗試,可能的話會(huì)進(jìn)行相應(yīng)內(nèi)容的分享。

2. 系統(tǒng)安全檢查框架

二、功能實(shí)現(xiàn)

1. 功能設(shè)計(jì)

  • V1.0 主要功能用來采集信息
  • V1.1 主要功能將原始數(shù)據(jù)進(jìn)行分析,并找出存在可疑或危險(xiǎn)項(xiàng)
  • V1.2 增加基線檢查的功能
  • V1.3 可以進(jìn)行相關(guān)危險(xiǎn)項(xiàng)或可疑項(xiàng)的自動(dòng)處理

目前到V1.2版本,后期完善V1.3相關(guān)的功能。

另外,操作上可以實(shí)現(xiàn)一鍵進(jìn)行安全檢查,并將檢查后的結(jié)果保存到本機(jī)。只需要在hosts文本中輸入相應(yīng)的IP、賬號(hào)、密碼。操作上人工參與最小化。

2. 各腳本功能說明

下載后相關(guān)整個(gè)腳本的目錄結(jié)構(gòu)如下所示:

  • checkrulues: 部分判斷邏輯,這里面目前僅有端口的判斷邏輯,后期可以將進(jìn)程、應(yīng)用程序是否有漏洞等,邏輯放在這里面進(jìn)行安全檢查,比較簡(jiǎn)單的判斷邏輯直接在buying_linuxcheck.sh中可以實(shí)現(xiàn);
  • buying_linuxcheck.sh: 核心檢查邏輯;
  • del.exp: 刪除遠(yuǎn)程服務(wù)器上的腳本與檢查結(jié)果;
  • get.exp: 獲取遠(yuǎn)程服務(wù)器上安全檢查的結(jié)果;
  • hosts.txt:需要被檢查的服務(wù)器列表;
  • login.sh:一鍵進(jìn)行登錄檢查,安全檢查時(shí)只需要運(yùn)行該腳本即可;
  • put.exp:將安全檢查腳本上傳到遠(yuǎn)程服務(wù)器上;
  • readme.txt:使用相關(guān)說明文檔;
  • sh.exp:在遠(yuǎn)程服務(wù)器上執(zhí)行安全檢查腳本;

下面針對(duì)其中部分腳本進(jìn)行介紹。

(1) Checkrules

判斷邏輯主要放在兩個(gè)文件中:一個(gè)是checkrules中,格式為dat,這里面建議將比較復(fù)雜的判斷邏輯放在這里,如下面的TCP危險(xiǎn)端口這塊,因?yàn)楸容^多,如果放在buying_linuxcheck.sh中則代碼有些冗長(zhǎng),下面是TCP高危端口的判斷邏輯,主要還是根據(jù)木馬默認(rèn)使用的端口號(hào),這里面判斷的邏輯相對(duì)簡(jiǎn)單,可能會(huì)存在誤報(bào)的情況,所以后續(xù)需要人工介入分析。

(2) buying_linuxcheck.sh

核心的功能收集與判斷邏輯,比較簡(jiǎn)單的判斷邏輯可以放在這里面進(jìn)行判斷。

三、使用

使用比較簡(jiǎn)單,將本腳本拷貝到自己一臺(tái)Linux主機(jī)上,可以使用虛擬機(jī),將需要被檢查的服務(wù)器的IP、賬號(hào)、密碼放到hosts.txt目錄中,直接運(yùn)行即可實(shí)現(xiàn)一鍵安全檢查。

相關(guān)操作

(1) 將需要被檢查的服務(wù)器IP、賬號(hào)、密碼寫入到hosts.txt文件中,格式為:

 
 
 
 
    
  
  
  
  
  1. IP:port:user:userpassword:rootpassword 
    2.

其中user為普通用戶的賬號(hào),port為ssh登錄端口,uesrpassword為普通賬號(hào)的密碼,rootpassword為root的密碼,只所以加個(gè)普通用戶是因?yàn)橛械南到y(tǒng)做了安全策略,不允許root直接登錄,如果被檢查的服務(wù)器允許root直接登錄,可以直接把user和userpassword寫成root以及root密碼。

這里面被檢查的服務(wù)器允許root直接登錄,因此直接寫root賬號(hào)和密碼。

(2) 運(yùn)行安全檢查腳本:sh login.sh

安全檢查腳本就在后臺(tái)運(yùn)行了,稍等…….

(3) 看到刪除遠(yuǎn)程服務(wù)器上的檢查腳本與檢查結(jié)果,就說明檢查結(jié)束了。

(4) 檢查結(jié)束后,會(huì)將遠(yuǎn)程服務(wù)器上的結(jié)果保存到本地主機(jī)上:

四、檢查結(jié)果說明

檢查結(jié)束后,將相應(yīng)的結(jié)果解壓后目錄結(jié)構(gòu)如下所示:

1. Check_file

保存的是檢查的最終結(jié)果,長(zhǎng)這個(gè)樣子……

2. Log

目錄中保存的是Linux系統(tǒng)日志,web日志這塊目前腳本沒有實(shí)現(xiàn)自動(dòng)打包的功能,原因就是web日志經(jīng)常太大,并且保存的日志可能從運(yùn)行到現(xiàn)在的所有日志,很多日志并不需要進(jìn)行檢查與分析,因此在檢查時(shí)相關(guān)人員可以根據(jù)具體情況進(jìn)行打包相應(yīng)的日志。

3. danger_file.txt

保存的是在安全檢查過程中發(fā)現(xiàn)的問題:

4. sysfile_md5.txt

保存的是系統(tǒng)關(guān)鍵文件或系統(tǒng)文件的MD5值,之所以將這些關(guān)鍵文件的MD5記錄下來主要有兩個(gè)功能:一是周期性的檢查時(shí),可以與***次的結(jié)果進(jìn)行對(duì)比,若有變動(dòng)會(huì)提示;另一個(gè)是可以將這些關(guān)鍵文件的MD5值跑一下威脅情報(bào)庫或virustotal以發(fā)現(xiàn)可能存在的系統(tǒng)文件被替換的情況。

五、代碼下載

相關(guān)代碼已上傳到github,有需要可自行下載,有問題也可以直接聯(lián)系:

https://github.com/T0xst/linux


當(dāng)前文章:Linux主機(jī)安全檢查與應(yīng)急響應(yīng)
標(biāo)題來源:http://www.dlmjj.cn/article/cdsdhdo.html