服务器安全巡检

服务器安全巡检"/>

服务器安全巡检

        服务器作为承载业务和数据的主体，是企业的重要资产。在网络安全中，服务器的安全一直被认为是整个信息安全领域的最后一道防线，影响因素含单位管理制度不健全、人员运维不规范、操作系统及软件的漏洞无法修复或未及时修复、配置策略宽松等等。在日常使用及重点保障时期，服务器都需要进行安全巡检，以下是针对服务器安全层面的巡检项，实际安全巡检工作还应根据网络架构，结合网络设备、安全设备进行全方位巡检。

一、文件排查：是否存在攻击者留下的异常文件、关键系统文件，以此判断业务主机是否被入侵！
        Windows
            运行msconfig-任务管理器-查看自启动项是否正常，或右击任务栏也可查看
            进C:\Windwos\查看Temp或tmp目录是否存在异常文件，重点查看.exe
            我的电脑打开最近文件夹，检查近期修改的文件是否有未知异常文件
        Linux
            查看/tmp、/usr/bin、/usr/sbin是否存在异常文件，重点看可执行脚本如.sh
            开启启动项是否异常：ls -alt /etc/init.d/
            进入特定目录-按最近时间排序-确认文件是否恶意改动，
                先进入目录/bin、/sbin、/usr/bin、/usr/sbin
                ls -alt | head -n 10
            查看用户历史命令是否正常：cat /root/.bash_history
            是否存在非法用户（异常用户一般nologin结尾，为不可登录用户）
                cat /etc/passwd
二、进程排查：是否存在异常进程，以此判断是否植入木马、后门！
        Windows
            查看是否有异常连接端口，PID，系统自带网络连接分析工具 netstat
                netstat -ano
            根据PID看进程，得出详细进程名称
                tasklist | findstr 3816
            根据进程名称差看进程所在全路径
                wmic process | findstr WeChat.exe
        Linux
            top命令实时查看是否有异常进程占用大量CPU、内存
                CPU实际使用率=显示使用率/核数    
            确认是否存在可疑的监听端口
                netstat -antlp | more
            如果前面两个步骤发现异常程序，可根据PID查看详情
                ps -aux | grep 16688
三、系统信息排查：环境变量、定时任务，以此判断攻击者是否添加变量及任务！
        Windows
            我的电脑-属性-高级系统设置-高级-环境变量
                查看Temp或tmp值是否为C:\Windows\Temp
                用户变量“Path”是否添加了非法路径
            计算机管理-系统工具-任务计划程序
                是否存在非用户自己创建的任务计划程序
            计算机管理-本地用户和组是否存在异常账户、隐藏账户（以$结尾）
            查看用户登录情况（建议日常使用结束后注销账户，否则不好判断）
                query user
        Linux
            确认定时任务是否正常
                crontab -l
            开机自动执行的rc.local文件是否正常（是否含异常任务）
                cat /etc/rc.local
            所有用户最近一次登录系统时间
                lastlog
            查看环境变量，是否存在非法路径、风险路径
                echo $PATH
    日志分析：分析是否登录或攻击痕迹，同时用于溯源和取证；还可用于信息记录、故障定位、故障分析、攻击溯源！
        日志类型
            安全设备：源IP、攻击特征、是否拦截
            操作系统：系统整体信息、用户登录/授权信息、安全事件信息
            业务系统：业务日志记录访问者IP、请求类型、请求时间
        日志格式
            syslog
                格式：Jan XX XXXX 22:11:45 SC4-S36 %%02 IFNET/6/IF_ENABLE()[43]:
                Interface XGigabitEthernet2/0/0/8 has been down.
            Windows
                计算机管理-事件查看器：系统、安全、设置、应用
                格式：日志名称、日志来源、事件ID、级别、用户、记录时间
            Linux
                /var/log/messages
                    记录系统整体的信息
                /var/log/auth.log
                    记录系统授权信息，包括用户登录和使用的权限机制
                    是否存非运维人员的授权信息
                /var/log/userlog
                    记录所有等级用户信息的相关日志
                /var/log/cron
                    记录crontab命令执行情况的相关日志
                    是否存在异常定时执行程序
                /var/log/vsftpd.log
                    记录Linux FTP应用的相关日志
                /var/log/lastlog
                    记录用户最近一次登录的日志信息，可以使用命令lastlog查看
                /var/log/secure
                    记录大多数应用输入的账号与密码，以及登录成功与否的相关日志，
                    是否存在暴力破解，是否成功
                /var/log/wtmpat/var/log/utmp
                    记录成功登录系统的账户信息
                /var/log/faillog
                    记录未成功登录系统的账号信息
                格式：Jun XXX XXXX 22:22:22 SICO-NHE sudo[263489]: omm : TTY=unknown ; PWD=/opt/data/Bigdata/server 4.0.0.1/0MS/workspace0/ha/module/harm/plugin/script ; USER=nginx ;COMMAND=/var/lib/sudo/Bigdata/sudo/runtime/sudoExecutesh m arping bond0 192.168.1.33