应急响应（Linux）

一、基本思路流程

1. 收集信息：收集客户信息和中毒主机信息，包括样本
2. 判断类型：判断是否是安全事件，何种安全事件，勒索、挖矿、断网、DoS 等等
3. 抑制范围：隔离使受害⾯不继续扩⼤
4. 深入分析：日志分析、进程分析、启动项分析、样本分析方便后期溯源
5. 清理处置：杀掉进程，删除文件，打补丁，删除异常系统服务，清除后门账号防止事件扩大，处理完毕后恢复生产
6. 产出报告：整理并输出完整的安全事件报告

二、Linux入侵排查思路

1.查看账号安全，这里说三个命令。

who 查看当前登录用户（tty本地登陆 pts远程登录）
w 查看系统信息，想知道某一时刻用户的行为
uptime 查看登陆多久、多少用户，负载

2.查看历史命令。

1. 查看.bash_history文件
2. 打开 /home 各帐号目录下的 .bash_history，查看普通帐号的历史命令

3.检查系统日志。（/var/log）

（1）首先说一下关于排查是否有爆破，也就是登陆日志：secure

统计爆破次数：

grep -o "Failed password" /var/log/secure|uniq -c

-o: 只显示匹配PATTERN 部分。

当然也可以通过匹配第一次爆破和最后一次爆破来确定爆破的时间间隔：

grep "Failed password" /var/log/secure|head -1
grep "Failed password" /var/log/secure|tail -1

进一步确定爆破的ip地址和次数：

cat /var/log/secure | awk '/Failed/{print $(NF-3)}' | sort | uniq -c | awk '{print $2" = "$1;}'

 筛选登陆成功的：

grep "Accepted" /var/log/secure

 （2）排查后门木马程序