Linux 与 Windows 入侵排查实用思路,涵盖日志分析、账户检查、命令历史、计划任务、数据库日志等关键环节,帮助安全人员快速定位异常与威胁。
Linux/Windows 入侵排查指南
🐧 Linux 入侵排查思路
| 步骤 | 检查项目 | 具体操作 | 关键文件/命令 |
|---|
| 1 | 分析安全日志 | 检查SSH爆破和异常登录 | /var/log/secure |
| 2 | 检查系统账户 | 排查恶意新增用户 | /etc/passwd |
| 3 | 分析命令历史 | 查看恶意命令执行记录 | ~/.bash_history |
| 4 | 检查Root邮箱 | 日志被删时的补充分析 | /var/spool/mail/root |
| 5 | 分析中间件日志 | Web攻击痕迹排查 | access_log等 |
| 6 | 检查登录日志 | 成功/失败登录分析 | last/lastb |
| 7 | 分析计划任务 | 可疑定时任务排查 | /var/log/cron |
| 8 | 分析操作历史 | 系统命令审计 | history日志 |
| 9 | 数据库日志分析 | 数据库安全审计 | Redis/MySQL/Oracle等日志 |
🪟 Windows 入侵排查思路
| 步骤 | 检查项目 | 具体操作 | 工具/命令 |
|---|
| 1 | 账号安全检查 | 弱口令、网络连接、进程分析 | Netstat, tasklist |
| 2 | 登录日志分析 | 成功/失败登录事件筛查 | 事件ID: 4776, 4624 |
| 3 | 系统账户排查 | 可疑账户检查 | lusrmgr.msc |
| 4 | 本地用户组检查 | 隐藏账户检测 | compmgmt.msc |
| 5 | 管理员行为分析 | 登录时间异常分析 | Log Parser |
| 6 | 计划任务排查 | 可疑定时任务检查 | taskschd.msc |
| 7 | 近期文件分析 | 最近访问文件检查 | %UserProfile%\Recent |
| 8 | 中间件日志分析 | Web攻击痕迹排查 | Tomcat/Apache日志 |
| 9 | 近期修改文件 | 文件变更时间线分析 | %UserProfile%\Recent |
🔍 排查要点说明
Linux 重点关注
- /var/log/secure: SSH登录尝试、成功登录记录
- /etc/passwd: UID为0的非root账户、异常shell账户
- bash_history: 可疑下载、权限提升、网络连接命令
Windows 重点关注
- 事件日志: 重点关注安全事件ID
- 用户管理: 隐藏账户、克隆账户检测
- 计划任务: 异常定时执行任务