服务器安全排查步骤和方法

事件分类：

web入侵：挂马，篡改，webshell

系统入侵：系统异常，RDP爆破，SSH爆破，主机漏洞病毒。

木马：远程，后门

勒索软件，信息泄露：脱裤，数据库登陆（弱口令）

网络流量：频繁发包，批量请求，DDOS攻击

应急排查操作

1，通过iptables完成网络层隔离

#/bin/bash
iptables-save > /root/iptables.bak ##备份系统的iptables规则文件
iptables -F
iptables -A INPUT -s 白名单IP -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -d 白名单IP -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
iptables -A OUTPUT -j DROP


在排查完成后，我们需要对iptables规则进行还原
iptables-restore < /root/iptables.bak

常见的linux后门总结：

• 增加超级用户账号
• 破解/嗅探用户密码
• 放置SUID Shell
• 利用系统服务程序
• TCP/UDP/ICMP Shell
• Crontab 定时任务
• 共享库文件
• 工具包rootkit
• 可装载内仿模块（LKM）

对于上面的后门，应对方法：

使用busybox工具进行检查，检查的步骤如下：

1. 检查系统用户和系统的登陆时间
2. 检查异常进程：

perf top -s pid,comm,dso,symbol   ###显示恶意进程
top
lsof -p pid   ###查看进程占用信息
lsof -i :port   ###检查哪个进程使用这个端口
pstree  ###以树状图显示进程间的关系
strace -f -p PID   ###跟踪分析进程

3.检查异常系统文件

4.检查网络

watch netstat -antop   ###实时监控网络连接

5.检查计划任务

crontab -l
cat /etc/crontab
ls -alh /etc/cron.*
/var/spool/cron/

6.检查系统命令

env   ###检查环境变量
history
/etc/init.d/

7.检查系统日志

检查web的访问日志
/var/log/messages - 包括整体系统信息，包含系统启动期间的日志，mail,cron,daemon,kern和auth等内容也记录在此
/var/log/auth.log - 包含系统授权信息，包括用户登陆和使用的权限机制等
/var/log/boot.log - 包含系统启动时的日志
/var/log/daemon.log - 包含各种系统后台守护进程日志信息
/var/log/dpkg.log - 包含安装或dpkg命令清除软件包的日志
/var/log/lastlog - 记录所有用户的最近信息，这不是一个ascii文件，因此需要用lastlog命令进行查看。
/var/log/user.log - 记录所有等级用户信息的日志
/var/log/alternatives.log - 更新替代信息都记录在这个文件中
/var/log/btmp - 记录所有失败登陆信息，使用last命令可以查看btmp文件。
/var/log/faillog - 包含用户登录失败信息。此外，错误登陆命令也会记录在本文件中
/var/log/yum.log - 包含使用yum安装的软件包信息。
/var/log/cron - 定时任务日志
/var/log/secure - 验证和授权方面信息
/var/log/wtmp或/var/log/utmp - 包含登录信息。使用wtmp可以找出谁正在登陆进入系统，谁使用命令显示这个文件或信息等。该文件为二进制文件，需要使用命令last来查看
~/.bash_history

8.检查webshell使用工具：D盾

9.检查系统后门

使用chkrootkit，rkhunter,cleamav工具进行