当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路. 一.入侵排查思路 本次linux系统版本为:centos6.5 1.账号安全 用户信息文件 cat /etc//passwd ,如果里面内容比较多使用more  /etc…

参考  http://www.ruanyifeng.com/blog/2011/07/linux_load_average_explained.html 在Linux系统中,我们一般使用uptime命令查看(w命令和top命令也行).(另外,它们在苹果公司的Mac电脑上也适用.) 输出如下: $ uptime 13:18:13 up 202 days, 11:27, 1 user, load average: 0.06, 0.09, 0.12 这行信息的后半部分,显示"load average&…

linux有许多的版本,主要关注redhat(centos)和ubuntu这两个主流版本 以下命令基本都需要root权限,执行命令前记得加sudo 第一步 top,ps命令查看系统资源和负载情况,查看是否有异常的程序,kill命令杀掉异常程序或高负载程序 第二步 查看/etc/passwd是否有异常或隐藏用户,usermod -L xxx禁用该用户 第三步 查看开机启动日志 一般在此目录下/etc/rsyslog.conf,里面包含了其他各种配置文件的位置,只要找到该文件的位置,其他文件的位置就…

通常linux系统出问题了 先看系统日志 tail -f /var/log/messages…

1.查看内存使用情况 free -g 当观察到free栏已为0的时候,表示内存基本被吃完了,那就释放内存吧. 释放内存: sync echo 3 > /proc/sys/vm/drop_caches sync表示将内存缓存区内容立即同步到磁盘,为了保证安全可以多执行几次. 2.查看磁盘使用情况 df -h 当发现磁盘使用率很高时,那就要释放磁盘空间了,删除一些不必要的文件(查看各个目录占用磁盘空间) du命令:查看目录和文件的磁盘占用情况 查看指定目录的磁盘占用情况: du -sh /home/…

0x00 前言 ​ 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路. 0x01 入侵排查思路 一.账号安全 基本使用: 1.用户信息文件/etc/passwdroot:x:0:0:root:/root:/bin/bash…

在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节.今天,分享一下如何检查linux系统是否遭受了入侵? 一.是否入侵检查 1)检查系统日志 检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况) [root@bastion-IDC ~]# last 2)检查系统用户 查看是否有异常的系统用户 [root@bastion-IDC ~]# cat /etc/passwd 查看是否产生了新用户,UID和GID为0的用户 [r…

背景 操作系统:Ubuntu12.04_x64 运行业务:公司业务系统,爬虫程序,数据队列. 服务器托管在外地机房. 突然,频繁收到一组服务器ping监控不可达邮件,赶紧登陆zabbix监控系统查看流量状况. 可见流量已经达到了800M左右,肯定不正常,马上尝试SSH登陆系统,不幸的事,这种情况是很难登录系统操作的.该怎么办? 1.排查问题 第一反应是想马上切断外部网络,通过内网连接查看.可是这样一来流量就会消失,但也很难查找攻击源了. 于是联系机房协助解决,授权机房技术登录到系统,先通过w命令…

在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节.今天,分享一下如何检查linux系统是否遭受了入侵? 一.是否入侵检查 1)检查系统日志 检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况) [root@bastion-IDC ~]# last 2)检查系统用户 查看是否有异常的系统用户 [root@bastion-IDC ~]# cat /etc/passwd 查看是否产生了新用户,UID和GID为0的用户 [r…

0x01 入侵排查思路 一.账号安全 基本使用: 1.用户信息文件/etc/passwd root:x:0:0:root:/root:/bin/bash account:password:UID:GID:GECOS:directory:shell 2.影子文件/etc/shadow root:$6$7LZU11L9$OrxD.7wkmCopj58AM5azR1M5/fqndWSHJwpniKJhMqPhxxsnpnaAbRkevpsKwBAOpq0JwVs66RE6.8U9ctHGT/:1776…