针对服务器操作系统的安全事件也非常多的。攻击方式主要是弱口令攻击、远程溢出攻击及其他应用漏洞攻击等。分析安全事件,找到入侵源,修复漏洞,总结经验,避免再次出现安全事件,以下是参考网络上文章,总结的安全应急响应过程中的分析方法。
一、分析原则1.重要数据先备份再分析,尽量不要在原来的系统中分析;2.已经被入侵的系统都不再安全,如果条件允许最好采用第三方系统进行分析;
二、分析目标1.找到攻击来源IP(可以从SSH登陆记录,如有使用第三方平台,看从第三方平台SSH登陆记录中获取)2.找到入侵途径(可以使用攻击IP,在WEB日志中进行反查,确定攻击IP做了哪些请求)3.分析影响范围(分析攻击IP做了什么操作,影响数据范围)4.量化影响级别(根据分析情况,量化影响级别)5.判断业务影响级别(根据分析情况,量化业务影响级别,比如数据是否被篡改,如未被篡改,使用数据快速恢复目前业务,如已被篡改,使用之前备份数据快速恢复业务,如事前有预案,可先按预案恢复业务,比如使用有备用服务器恢复业务)
三、数据备份采集痕迹数据永远是分析安全事件最重要的数据,在分析过程中,痕迹数据永远是最重要的数据资料。所以第一件事自然是备份相关痕迹数据。痕迹数据主要包含如下几点:1.系统日志:message、secure、cron、mail等系统日志;2.应用程序日志:Apache日志、Nginx日志、FTP日志、MySQL等日志;3.自定义日志:很多程序开发过程中会自定义程序日志,这些日志也是很重要的数据,能够帮我们分析入侵途径等信息;4.bash_history:这是bash执行过程中记录的bash日志信息,能够帮我们查看bash执行了哪些命令;5.其他安全事件相关日志记录;分析这些日志的时候一定要先备份,我们可以通过tar压缩备份好,再进行分析,如果遇到日志较大,可以尽可能通过海量日志分析工具进行分析。以下是完整备份/var/log路径下所有文件的命令,其他日志可以参照此命令:
复制代码代码如下:#备份系统日志及默认的