服务器安全巡检"/>
服务器安全巡检
服务器作为承载业务和数据的主体,是企业的重要资产。在网络安全中,服务器的安全一直被认为是整个信息安全领域的最后一道防线,影响因素含单位管理制度不健全、人员运维不规范、操作系统及软件的漏洞无法修复或未及时修复、配置策略宽松等等。在日常使用及重点保障时期,服务器都需要进行安全巡检,以下是针对服务器安全层面的巡检项,实际安全巡检工作还应根据网络架构,结合网络设备、安全设备进行全方位巡检。
一、文件排查:是否存在攻击者留下的异常文件、关键系统文件,以此判断业务主机是否被入侵!
Windows
运行msconfig-任务管理器-查看自启动项是否正常,或右击任务栏也可查看
进C:\Windwos\查看Temp或tmp目录是否存在异常文件,重点查看.exe
我的电脑打开最近文件夹,检查近期修改的文件是否有未知异常文件
Linux
查看/tmp、/usr/bin、/usr/sbin是否存在异常文件,重点看可执行脚本如.sh
开启启动项是否异常:ls -alt /etc/init.d/
进入特定目录-按最近时间排序-确认文件是否恶意改动,
先进入目录/bin、/sbin、/usr/bin、/usr/sbin
ls -alt | head -n 10
查看用户历史命令是否正常:cat /root/.bash_history
是否存在非法用户(异常用户一般nologin结尾,为不可登录用户)
cat /etc/passwd
二、进程排查:是否存在异常进程,以此判断是否植入木马、后门!
Windows
查看是否有异常连接端口,PID,系统自带网络连接分析工具 netstat
netstat -ano
根据PID看进程,得出详细进程名称
tasklist | findstr 3816
根据进程名称差看进程所在全路径
wmic process | findstr WeChat.exe
Linux
top命令实时查看是否有异常进程占用大量CPU、内存
CPU实际使用率=显示使用率/核数
确认是否存在可疑的监听端口
netstat -antlp | more
如果前面两个步骤发现异常程序,可根据PID查看详情
ps -aux | grep 16688
三、系统信息排查:环境变量、定时任务,以此判断攻击者是否添加变量及任务!
Windows
我的电脑-属性-高级系统设置-高级-环境变量
查看Temp或tmp值是否为C:\Windows\Temp
用户变量“Path”是否添加了非法路径
计算机管理-系统工具-任务计划程序
是否存在非用户自己创建的任务计划程序
计算机管理-本地用户和组是否存在异常账户、隐藏账户(以$结尾)
查看用户登录情况(建议日常使用结束后注销账户,否则不好判断)
query user
Linux
确认定时任务是否正常
crontab -l
开机自动执行的rc.local文件是否正常(是否含异常任务)
cat /etc/rc.local
所有用户最近一次登录系统时间
lastlog
查看环境变量,是否存在非法路径、风险路径
echo $PATH
日志分析:分析是否登录或攻击痕迹,同时用于溯源和取证;还可用于信息记录、故障定位、故障分析、攻击溯源!
日志类型
安全设备:源IP、攻击特征、是否拦截
操作系统:系统整体信息、用户登录/授权信息、安全事件信息
业务系统:业务日志记录访问者IP、请求类型、请求时间
日志格式
syslog
格式:Jan XX XXXX 22:11:45 SC4-S36 %%02 IFNET/6/IF_ENABLE()[43]:
Interface XGigabitEthernet2/0/0/8 has been down.
Windows
计算机管理-事件查看器:系统、安全、设置、应用
格式:日志名称、日志来源、事件ID、级别、用户、记录时间
Linux
/var/log/messages
记录系统整体的信息
/var/log/auth.log
记录系统授权信息,包括用户登录和使用的权限机制
是否存非运维人员的授权信息
/var/log/userlog
记录所有等级用户信息的相关日志
/var/log/cron
记录crontab命令执行情况的相关日志
是否存在异常定时执行程序
/var/log/vsftpd.log
记录Linux FTP应用的相关日志
/var/log/lastlog
记录用户最近一次登录的日志信息,可以使用命令lastlog查看
/var/log/secure
记录大多数应用输入的账号与密码,以及登录成功与否的相关日志,
是否存在暴力破解,是否成功
/var/log/wtmpat/var/log/utmp
记录成功登录系统的账户信息
/var/log/faillog
记录未成功登录系统的账号信息
格式:Jun XXX XXXX 22:22:22 SICO-NHE sudo[263489]: omm : TTY=unknown ; PWD=/opt/data/Bigdata/server 4.0.0.1/0MS/workspace0/ha/module/harm/plugin/script ; USER=nginx ;COMMAND=/var/lib/sudo/Bigdata/sudo/runtime/sudoExecutesh m arping bond0 192.168.1.33
更多推荐
服务器安全巡检
发布评论