网络安全中的应急响应是针对网络威胁和安全事件发生后的策略和流程,旨在迅速处置网络安全事件,减少潜在的风险与损害。衡量应急响应的成功与否通常有两个指标,分别为MTTD和MTTR。MTTD是平均检测时间,指的是安全团队成功检测到安全事件所经历的平均时间;MTTR是平均响应时间,指的是安全团队采取控制措施或修复安全事件所经历的平均时间。缩短MTTD通常要使用更有效的监控工具、实施实时警报和自动化流程,缩短MTTR通常要有明确的应急响应计划、培训有素的安全团队以及适当的技术工具和资源。网络安全中的应急响应是一个持续进步改进的过程,它需要不断的培训、更新来适应不断变化的威胁和技术,通过建立强大的应急响应能力才可以保护网络和数据资源避免遭受潜在的风险和攻击。
应急响应的基本流程一般为检测与识别、分析与评估、实施应急响应计划、控制威胁、通知相关方、修复系统服务、事后改进与总结。在实际的生产环境中,一般是先收到客户的问题通报,再从客户处获取受到攻击主机的远程访问权限进行排查或者直接到客户现场进行排查。
Linux系统中的排查思路
1.查看进程
ps -aux ps -ef 显示所有用户的进程
pstree -apn 以树形结构显示所有进程
-a 显示该进程的命令行参数
-p 显示进程的pid(进程标识符)
-n 按照pid的数字顺序进行排序
ps aux | grep pid 显示具体pid的进程
2.查看网络连接
netstat 显示网络统计信息
-a 显示所有网络连接和监听的端口,包括正在监听和已经建立的连接
-t 显示TCP协议相关的连接
-u 显示UDP协议相关的连接
-n 显示数值形式的地址和端口,不解析主机名和服务名称
-l 显示正在监听的端口
-p 显示每个网络连接相关进程的pid和进程名称
tcpdump 监视网络流量
-i eth0选择网络接口
-c 100 指定抓包的数量
-w ccc.pcap 保存抓包到指定文件
src host ip 监视该主机发起的流量
src port 监视该端口发起的流量
dst host ip 监视通往该地址的流量
3.查看后门账户
cat /etc/passwd 查看用户账户信息,主要看uid为0的用户
awk -F: '$3==0{print $1}' /etc/passwd 查询uid=0的用户
awk '/\$1|\$6/{print $1}' /etc/shadow 查询可以远程登录的账号信息
userdel -r admin 删除admin用户,并且将/home目录下的admin目录一并删除
4.查看日志文件
last 显示最近的用户登录记录
lastb 显示登录失败的记录
lastlog 显示用户最后一次登录的信息
/var/log/message 主要系统日志文件
/var/log/secure SSH登录日志
/var/log/cron 计划任务的执行日志
5.查看服务
systemctl list-units 列出当前运行的服务
systemctl status sshd 查看SSH服务状态
systemctl stop sshd 关闭SSH服务
crontab -l 查看计划任务
crontab -e 编辑计划任务
crontab -u 查看某用户的计划任务
crontab -r 删除计划任务
作者
陈梓涛
华清信安
精彩回顾
1
2
3
