安全运维 - Linux系统攻击应急响应

Linux 应急相应 - 总纲

应急准备:
制定应急策略
组建应急团队
其他应急资源

安全事件处理:
痕迹数据获取
分析、锁定攻击源
删除可疑账号
关闭异常进程、端口
禁用相应异常开机启动项
删除异常定时任务
卸载或删除相应异常服务 解决、恢复 报告记录总结

Linux应急相应 - 工具

Rootkit查杀:
chkrootkit  http://www.chkrootkit.org
rkhunter  http://rkhunter.sourceforge.net

病毒查杀:
clamav  http://www.clamav.net/download.html

WebShell查杀
https://www.chaitin.cn/zh/cloudwalker
http://edr.sangfor.com.cn/backdoor_detection.html

Linux安全检查脚本:
https://github.com/grayddq/GScan
https://github.com/ppabc/security_check
https://github.com/T0xst/linux

短连接排查处理

挖矿病毒排查处理

取证框架 - Volatility

镜像的相关信息 - imageinfo | Timeliner
查找异常的进程 - Pslist | Psscan | Pstree
分析进程的DLL和句柄 - dlllist | getsids | handles | filescan | Svcscan | netscan
查找恶意的代码注入 - malfind | ldrmodules
检测Rootkit工具 - psxview
转储可疑的进程或者驱动 - dlldump | moddump | procdump | memdump
注册表分析插件 - hivelist | hivedump | printkey | userassist | hashdump

 

posted @ 2019-08-21 21:37  7hang  阅读(410)  评论(0编辑  收藏  举报