Windows以及Linux的入侵排查

关于对于Windows与Linux的入侵排查，着重排查一些很有可能被植入后门的地方

关于入侵排查：为什么要做入侵排查呢？

当我们发现系统或者机器被入侵之后，需要及时的去排查这些问题，防止数据或者应用进一步的受损，及时止损

对于应急响应的概述

应急响应：对于系统或者应用发生了安全事件之后的处理

应急响应的处理分为 事前 和 事后处理

1. 事前处理：数据备份、风险评估、安全培训、应急演练等
2. 事后处理：病毒检测、后门检测、系统恢复、清除病毒以及后门程序、调查与追踪、入侵者取证等

应急响应事后流程

应该尽快恢复服务系统，将受到攻击的损失降到最低，应急响应大概的流程：

1. 信息收集：受到影响的机器、机器的操作系统、是否打上补丁
2. 类型判断：是何种攻击类型
3. 原因分析：如何被成功入侵，通过什么方式
4. 事件处置：通过杀进程、文件、网络等方式恢复系统
5. 编写报告

攻击的类型分为以下几类

分为五大类，并且大类中还有细节分类，分别是：

1. 恶意程序事件
   病毒、蠕虫、木马、僵尸网络、网页嵌入恶意代码
2. 网络攻击事件
   DDos、后门、漏洞、扫描、窃听、钓鱼、干扰
3. 信息破坏事件
   信息篡改、信息假冒、信息泄露、信息窃取、信息丢失
4. 设备设施故障
   软件、硬件、电力、网络、认为
5. 灾害性事件
   水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争

Linux入侵排查

Linux排查方向

判断我们的机器是否被入侵，入侵的症状是什么。在被入侵成功后可能有比较明显的症状也有可能存在比较隐晦的症状

被入侵的症状有：

1. 系统资源
2. 用户和日志
3. 文件和命令被篡改
4. 启动项和定时任务

关于Linux系统资源的排查

1. CPU、内存、磁盘的状态：当系统出现明显的卡顿的情况下可以去排查这些方面，因为这种情况非常明显

top -c -o %CPU    排序CPU占比多的程序
top -c -o %MEM    排序内存占比多的程序
ps