应急响应--Linux入侵检查思路及防御

主要观点总结

本文主要介绍了Linux系统安全检查的十个关键点，包括检查系统用户、查看历史命令、检查异常端口、检查异常进程、计划任务排查、异常文件检查、检查系统日志、开机启动项、检查服务以及确保Linux系统安全。涉及的具体内容包括查看用户信息文件、查看历史命令记录、使用网络工具和ps命令检查异常端口和进程、计划任务设置和日志文件的查看与分析，以及系统安全策略的设置等。

关键观点总结

关键观点1: 检查系统用户

包括查看/etc/passwd文件确认是否有异常用户，检查/etc/shadow文件中的密码信息，以及使用其他命令排查特权用户、空口令账户和禁用账户等。

关键观点2: 查看历史命令

Linux系统默认记录用户输入的命令，保存在.bash_history隐藏文件中，可以通过ls -al命令和history命令查看。

关键观点3: 检查异常端口

使用netstat和telnet等命令检查异常端口、IP和PID，以及是否有建立可疑网络连接。

关键观点4: 检查异常进程

使用ps命令结合aux和grep选项查看Linux系统下的进程信息，以及使用top命令检查是否有挖矿或木马病毒占用大量系统资源。

关键观点5: 计划任务排查

在Linux系统中使用crontab命令进行计划任务的设置，并检查相关文件以确认计划任务的内容。

关键观点6: 异常文件检查

检查异常文件以排查黑客是否修改了服务器上的敏感目录或文件，如/tmp目录下的文件以及隐藏文件夹等。

关键观点7: 检查系统日志

查看系统日志以检查系统错误登陆日志和IP重试次数，以及重要的系统日志信息。

关键观点8: 开机启动项检查

检查开机启动的服务或文件是否有异常，一般会在/etc/rc.local和crondtab中显示。

关键观点9: 服务检查

查询已安装的服务并查看服务自启动状态，以及使用chkconfig和ps命令等工具进行排查。

关键观点10: 确保Linux系统安全

包括设置复杂的用户名和密码、更改默认远程端口、使用安全策略保护系统开放的端口、禁ping设置、安装和使用防火墙、加密数据以及使用防病毒软件等措施。