【Linux 系统层面应急响应并分析日志溯源的流程】
Linux 层面响应安全事件并分析日志溯源的流程
- 一、事件响应核心流程
- 1. 初步隔离与现场保护
- 2. 关键日志收集与备份
- 二、日志分析工具链与溯源步骤
- 1. 基础日志分析工具
- 2. 高级日志分析框架
- 3. 恶意行为深度检测
- 4. 时间线重构工具
- 三、关键注意事项
- 1. 日志可信度验证
- 2. 攻击者反取证手段应对
- 3. 法律与合规性
- 四、发散思路与高阶技巧
- 1. 威胁情报融合
- 2. 横向移动痕迹追踪
- 3. 容器与云原生环境
- 五、总结:工具链与流程表
以下是 Linux 下响应安全事件并分析日志溯源攻击者的详细流程,结合工具链,以应对复杂攻击场景:
一、事件响应核心流程
1. 初步隔离与现场保护
- 断网/隔离主机:
物理断开网络或通过防火墙阻断入站/出站流量,防止攻击扩散:iptables -P INPUT DROP && iptables -P OUTPUT DROP - 创建系统快照:
使用dd或专业工具对磁盘和内存进行取证镜像:dd if=/dev/sda of=/mnt/backup/disk.img bs=4M # 磁盘镜像 fmem | gzip > /mnt/backup/memory.img.gz # 内存镜像(需安装 fmem 模块)
2. 关键日志收集与备份
- 集中日志导出:
将/var/log下的关键日志打包并计算哈希值(确保完整性):tar czvf logs.tar.gz /var/log/{auth.log*,secure,messages,audit/audit.log} sha256sum logs.tar.gz > logs.sha256 - 远程日志验证:
若配置了远程 syslog 服务器,优先使用远程日志(避免本地日志被篡改)。
二、日志分析工具链与溯源步骤
1. 基础日志分析工具
- 时间范围过滤(
grep+awk):# 查找指定时间段的 SSH 登录记录 grep "sshd" /var/log/auth.log | awk '$0 >= "2023-10-01 00:00:00" && $0 <= "2023-10-05 23:59:59"' - 高频失败登录检测:
grep "Failed password" /var/log/auth.log | awk '{print $9}' | sort | uniq -c | sort -nr
2. 高级日志分析框架
- ELK Stack(可视化分析):
将日志导入 Elasticsearch,通过 Kibana 制作仪表盘,快速定位异常:# 示例:统计可疑 IP 的访问频率 index="auth_logs" | stats count by src_ip | sort -count desc - Logwatch 自动化报告:
生成每日日志摘要,聚焦异常事件:logwatch --range yesterday --output mail --format html
3. 恶意行为深度检测
- 进程与网络关联分析(
netstat+lsof):# 查找异常外连进程 netstat -antp | grep ESTABLISHED | awk '{print $7}' | cut -d'/' -f1 | xargs -I{} ps -p {} -o pid,cmd - Rootkit 检测:
rkhunter --check --sk # 快速扫描 chkrootkit -q # 静默模式
4. 时间线重构工具
- Sleuth Kit + Autopsy:
分析磁盘镜像,构建文件系统操作时间线:fls -r -m "/" /dev/sda1 > timeline.csv # 生成时间线 autopsy # 启动图形化分析
三、关键注意事项
1. 日志可信度验证
- 日志轮转干扰:
检查logrotate配置,确认日志未被覆盖或截断:grep -R "logrotate" /etc/logrotate.d/ - 时间篡改检测:
对比系统时间与硬件时钟(防止攻击者修改时间混淆痕迹):hwclock --show && date
2. 攻击者反取证手段应对
- 日志删除检测:
检查日志文件 inode 与时间戳是否异常:ls -i /var/log/auth.log # 查看 inode stat /var/log/auth.log # 检查修改时间 - 隐藏进程排查:
对比ps与/proc目录的进程列表:ls /proc | grep -Eo '[0-9]+' | sort -n | uniq > proc_pids.txt ps -eo pid | tail -n +2 | sort -n | uniq > ps_pids.txt diff proc_pids.txt ps_pids.txt
3. 法律与合规性
- 证据链保全:
使用md5deep计算所有取证文件的哈希值,并记录操作日志:md5deep -r /mnt/evidence > evidence_hashes.txt script -a response_operations.log # 记录所有终端操作
四、发散思路与高阶技巧
1. 威胁情报融合
- IP/域名信誉查询:
将可疑 IP 提交至 VirusTotal、AbuseIPDB:curl -s "https://www.virustotal.com/api/v3/ip_addresses/1.2.3.4" -H "x-apikey: YOUR_API_KEY" - YARA 规则匹配:
使用自定义规则检测内存或磁盘中的恶意代码特征:yara -r malware_rules.yar /mnt/evidence/memory.img
2. 横向移动痕迹追踪
- SSH 隧道检测:
查找非标准端口或长时间连接:grep "Accepted publickey" /var/log/auth.log | awk '{print $11}' | sort | uniq -c - Samba/NFS 访问审计:
分析/var/log/samba/log.*或/var/log/nfs.log中的文件操作记录。
3. 容器与云原生环境
- Kubernetes 审计日志:
检查 API Server 日志(/var/log/kube-apiserver/audit.log)中的异常操作:grep "forbidden" /var/log/kube-apiserver/audit.log | jq . # 使用 jq 解析 JSON - 容器逃逸检测:
对比宿主机与容器的进程列表,查找docker.sock挂载滥用:find / -name docker.sock # 检查非标准挂载点
五、总结:工具链与流程表
| 阶段 | 工具/命令 | 核心目标 | 发散思路 |
|---|---|---|---|
| 现场保护 | iptables, dd, fmem | 阻断攻击、保全证据 | 内存取证提取加密密钥 |
| 日志分析 | grep, awk, ELK, Logwatch | 定位攻击入口点 | 结合威胁情报匹配已知 APT 组织 TTP |
| 恶意行为检测 | rkhunter, netstat, lsof | 识别后门与横向移动痕迹 | 检测无文件攻击(如内存驻留恶意代码) |
| 时间线重构 | Sleuth Kit, fls, Autopsy | 还原攻击者操作序列 | 分析攻击者工具链(如 Metasploit 特征) |
| 合规报告 | md5deep, script | 生成法律认可的取证报告 | 构建自动化响应剧本(SOAR) |
通过以上流程,可系统化应对 Linux 系统层面安全事件,从基础日志分析到高级威胁追踪,结合自动化工具与人工研判,最大化攻击者溯源效率。
相关文章:
【Linux 系统层面应急响应并分析日志溯源的流程】
Linux 层面响应安全事件并分析日志溯源的流程 一、事件响应核心流程1. 初步隔离与现场保护2. 关键日志收集与备份 二、日志分析工具链与溯源步骤1. 基础日志分析工具2. 高级日志分析框架3. 恶意行为深度检测4. 时间线重构工具 三、关键注意事项1. 日志可信度验证2. 攻击者反取证…...
【笔记ing】python
1 Python基础概念及环境搭建 1.1 python简介及发展史 之父Guido van Rossum。ABC语言的替代品。Python提供了高效的数据结构,还能简单有效地面向对象编程。Python语法和动态类型,以及解释性语言的本质,使之成为多数平台上写脚本和快速开发应…...
QT 作业 day4
作业 代码 Widget.h class Widget : public QWidget {Q_OBJECTpublic:Widget(QWidget *parent nullptr);~Widget();private slots:// 槽函数void on_listWidget_itemDoubleClicked(QListWidgetItem *item);private:Ui::Widget *ui; }; #endif Widget.cpp Widget::Widget(QW…...
flink和yarn和mpp架构区别
为了全面理解 Flink 架构、YARN 架构和 MPP 架构的区别,我们从多个维度进行分析。以下是详细的对比: 1. 设计目标 架构设计目标Flink实时数据流处理和批处理,支持低延迟、高吞吐量的实时分析。YARN作为 Hadoop 的资源管理框架,负…...
DeepSeek崛起:如何在云端快速部署你的专属AI助手
在2025年春节的科技盛宴上,DeepSeek因其在AI领域的卓越表现成为焦点,其开源的推理模型DeepSeek-R1擅长处理多种复杂任务,支持多语言处理,并通过搜索引擎获取实时信息。DeepSeek因其先进的自然语言处理技术、广泛的知识库和高性价比…...
_1141. 查询近30天活跃用户数)
高频 SQL 50 题(基础版)_1141. 查询近30天活跃用户数
1141. 查询近30天活跃用户数 select activity_date day,count(distinct user_id) active_users from Activity where (activity_date<2019-07-27 and activity_date>DATE_sub(2019-07-27,INTERVAL 30 DAY)) group by(activity_date)...
DRMPlaneType里有VIG, DMA,和RGB三种类型,这是不是说明DRMPlane就是代表DPU里的Pipeline
DRMPlane 代表了 DPU(Display Processing Unit) 里的 Pipeline(数据通路),不同的 DRMPlaneType 对应 DPU 内部的不同 渲染/合成管线。 📌 DRMPlaneType 与 DPU Pipeline 的关系 在 高通(Qualco…...
not support ClassForName
com.alibaba.fastjson2.JSONException: not support ClassForName : java.lang.String, you can config JSONReader.Feature.SupportClassForName 官方说明中提到默认关闭, 可通过配置开启 JSON.config(JSONReader.Feature.SupportClassForName);...
为什么要学习数据结构与算法
今天,我向大家介绍一门非常重要的课程——《数据结构与算法》。这门课不仅是计算机学科的核心,更是每一位开发者从“小白”迈向“高手”的必经之路。 1、为什么要学习数据结构与算法 总的来说,数据结构与算法是: 求职的“敲门砖”…...
从浏览器输入网址,到页面展示都发生了什么?
查询缓存 其实从填写上url按下回车后,我们就进入了第一步就是 DNS 解析过程,首先需要找到这个 url 域名的服务器 ip,为了寻找这个 ip,浏览器首先会寻找缓存,查看缓存中是否有记录缓存的查找记录为:浏览器缓存>系统…...
Octave3D 关卡设计插件
课程参考链接 这位大佬有在视频合集中有详细的讲解,个人体验过,感觉功能很强大 https://www.bilibili.com/video/BV1Kq4y1C72P/?share_sourcecopy_web&vd_source0a41d8122353e3e841ae0a39908c2181 Prefab资源管理 第一步 在场景中创建一个空物体…...
)
JavaWeb后端基础(4)
这一篇就开始是做一个项目了,在项目里学习,我主要记录在学习过程中遇到的问题,以及一些知识点 Restful风格 一种软件架构风格 在REST风格的URL中,通过四种请求方式,来操作数据的增删改查。 GET : 查询 …...
【计算机网络】IP协议
目录 1. 协议头格式 2. 网段划分 3. 特殊的IP 4. 公网IP && 内网IP 总结 网络层的IP协议主要解决的是什么问题?——将数据包从B主机发送给C主机;传输层协议tcp提供可靠的策略;网络层IP协议提供数据数据传输的能力; 发…...
——接水滴游戏实现)
Libgdx游戏开发系列教程(2)——接水滴游戏实现
目录 游戏玩法 步骤 1.创建项目 2.添加资源文件 3.设置游戏配置 4.加载资源文件 5.播放背景音乐 6.绘制图形 7.雨滴下落实现 8.判断雨滴是否掉落在桶里 9.键盘控制改变桶位置 10.随机雨滴 打包 本文使用Kotlin语言开发 通过本文的学习可以初步了解以下基础知识的…...
【2025rust笔记】超详细,小白,rust基本语法
一、常见cargo命令 查看cargo版本 cargo --version创建cargo项目 create new demo_name构建编译项目 cargo build运行项目 cargo run检查项目代码 cargo check (比cargobuild快)发布构建项目 cargo build --release 电子markdown/pdf格式 二、小demo-----猜数游戏 1、print…...
将 SSH 密钥添加到 macOS 的钥匙串中
git提交代码时,如果SSH密码并未免密,每次拉取,上传操作时都需要密码输入, 可将SSH密钥添加到钥匙串中 git config --global credential.helper store报错: WARNING: The -K and -A flags are deprecated and have bee…...
Gpt翻译完整版
上一篇文章收到了很多小伙伴的反馈,总结了一下主要以下几点: 1. 说不知道怎么调api 2. 目前只是把所有的中文变成了英文,如果想要做多语言还需要把这些关键字提炼出来成放到message_zh.properties和message_en.properties文件中,…...
CC++的内存管理
目录 1、C/C内存划分 C语言的动态内存管理 malloc calloc realloc free C的动态内存管理 new和delete operator new函数和operator delete函数 new和delete的原理 new T[N]原理 delete[]的原理 1、C/C内存划分 1、栈:存有非静态局部变量、函数参数、返回…...
HTTP 状态代码 501 502 问题
问题 单个客户端有时会出现 报错 501 或 502 如下: System.Net.Http.HttpRequestException: Response status code does not indicate success: 501 (Not Implemented) 分析 可以排除 服务器无法处理的问题(测试发现 一个客户端报错,不会影响…...
virtio_video virtio_snd
在 Qualcomm 平台的 虚拟机(VM) 环境中,qcom,virtio_snd 是 VirtIO 机制下的 音频 DMA 共享 设备节点,它用于 虚拟机和宿主机(Hypervisor)之间共享音频数据,类似于标准的 VirtIO 声音设备。 1️…...
【大模型安全】大模型安全概述
【大模型安全】大模型安全概述 1.大模型安全目前的关键挑战技术安全合规安全 2.大语言模型的安全隐患与主要风险点3.大语言模型与国家安全风险4.大语言模型的信息安全原则 1.大模型安全目前的关键挑战 技术安全 1、数据的安全与合理利用 大语言模型通常需要处理大量敏感数据…...
指南)
基于 vLLM 部署 LSTM 时序预测模型的“下饭”(智能告警预测与根因分析部署)指南
Alright,各位看官老爷们,准备好迎接史上最爆笑、最通俗易懂的 “基于 vLLM 部署 LSTM 时序预测模型的智能告警预测与根因分析部署指南” 吗? 保证让你笑出猪叫,看完直接变身技术大咖!🚀😂 咱们今天的主题,就像是要打造一个“智能运维小管家”! 这个小管家,不仅能提…...
深入理解三色标记、CMS、G1垃圾回收器
三色标记算法 简介 三色标记算法是一种常见的垃圾收集的标记算法,属于根可达算法的一个分支,垃圾收集器CMS,G1在标记垃圾过程中就使用该算法 三色标记法(Tri-color Marking)是垃圾回收中用于并发标记存活对象的核心算…...
【车规芯片】如何引导时钟树生长方向
12nm车规DFTAPR项目中,我们可以看到,绝大部分的sink都受控于xxxx_tessent_occ_clk_cpu_inst/tessent_persistent_cell_clock_out_mux/C10_ctmi_1这个mux,这是我们DFT设计结果: 这里我们重新打开place的数据 Anchor,也就…...
)
基于Spring Boot的企业车辆管理系统设计与实现(LW+源码+讲解)
专注于大学生项目实战开发,讲解,毕业答疑辅导,欢迎高校老师/同行前辈交流合作✌。 技术范围:SpringBoot、Vue、SSM、HLMT、小程序、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、安卓app、大数据、物联网、机器学习等设计与开发。 主要内容:…...
Spring Boot 中短时间连续请求时出现Cookie获取异常问题
Spring Boot 中短时间连续请求时出现Cookie获取异常问题 一、问题描述:异步线程操作导致请求复用时 Cookie 解析失败1. 场景背景2. 问题根源 二、问题详细分析1. 场景重现2. 问题分析 三、如何避免影响下一次请求?✅方式 1:在主线程提前复制 …...
轮播图案例
(1)、搭建轮播图的结构 <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8" /><title>轮播图结构</title><!-- <script src"../js/tools.js"></script> --…...
通俗版解释:分布式和微服务就像开餐厅
一、分布式系统:把大厨房拆成多个小厨房 想象你开了一家超火爆的餐厅,但原来的厨房太小了: 问题:一个厨师要同时切菜、炒菜、烤面包,手忙脚乱还容易出错。 解决方案: 拆分成多个小厨房(分布式…...
【开源-常用C/C++命令行解析库对比】
以下是几种常用的C/C命令行解析库的对比表格,以及它们的GitHub开源库地址: 库名称语言特点是否支持子命令是否支持配置文件是否支持自动生成帮助信息GitHub地址ClaraC11及以上单一头文件,轻量级,非异常错误处理,自动类…...
)
JavaEE_多线程(一)
目录 1. 为啥要有线程1.1 线程是什么1.2 进程和线程的区别1.3 Java如何进行多线程编程 2 使用线程2.1 创建线程2.2 Thread类的几个常见方法和属性2.2.1 Thread常见构造方法2.2.2 Thread常见属性2.2.3 常见其他方法 2.3 终止一个线程2.3.1 通过共享的标记位来进行沟通2.3.2 调用…...
table 拖拽移动
表格拖拽 Sortable.js中文网|配置 <!-- 教务处 --><template><div class"but"><el-button click"mergeAndPrintArrays()" type"primary">保存数据</el-button><el-button click"restoration()" t…...
【QGIS二次开发】地图显示与交互-01
1. 系统界面设计 设计的系统界面如下,很好还原了QGIS、ArcGIS等软件的系统界面,充分利用了QT中顶部工具栏、菜单栏、底部状态栏,实现了图层管理器、鹰眼图、工具箱三个工具面板。 菜单栏、工具栏、工具箱集成了系统中实现的全部功能&#x…...
Microsoft.Office.Interop.Excel 的简单操作
Microsoft.Office.Interop.Excel 的简单操作 1、安装 Microsoft.Office.Interop.Excel2、声明引用 Microsoft.Office.Interop.Excel3、简单的新建 EXCEL 操作代码4、将 DataGridView 表数据写到 EXCEL 操作代码5、将 EXCEL 表数据读取到 C# 数据表 DataTable 操作代码 1、安装 …...
Debezium日常分享系列之:Debezium 3.0.8.Final发布
Debezium日常分享系列之:Debezium 3.0.8.Final发布 稀疏向量逻辑类型重命名架构历史配置默认值的更改潜在的 Vitess 数据丢失Oracle 的 Reselect 列后处理器行为更改MariaDB 的 SSL 连接 稀疏向量逻辑类型重命名 PostgreSQL 扩展 vector(也称为 pgvecto…...
论传输层的TCP协议和UDP协议scoket通讯
TCP传输前需要三次握手---断开需要四次挥手 谁先发出请求、谁是客户端(client)另一个就是服务器(server)---简称CS架构 现在更多的是BS架构 什么是BS架构? blower server 浏览器服务器---也就是浏览器代替了客户端…...
《鸢尾花数学大系:从加减乘除到机器学习》开源资源
《鸢尾花数学大系:从加减乘除到机器学习》开源资源 Gitee:https://gitee.com/higkoo/ bilibili:https://space.bilibili.com/513194466 GitHub:https://github.com/Visualize-ML...
示例2: 分页和排序)
DeepSeek 助力 Vue3 开发:打造丝滑的表格(Table)示例2: 分页和排序
前言:哈喽,大家好,今天给大家分享一篇文章!并提供具体代码帮助大家深入理解,彻底掌握!创作不易,如果能帮助到大家或者给大家一些灵感和启发,欢迎收藏+关注哦 💕 目录 DeepSeek 助力 Vue3 开发:打造丝滑的表格(Table)示例2: 分页和排序📚页面效果📚指令输入定义…...
MySQL——DQL、多表设计
目录 一、DQL 1.基本查询 2.条件查询 3.分组查询 4.排序查询 5.分页查询 二、多表设计 1.一对多 2.一对一 3.多对多 一、DQL 1.基本查询 注意: *号代表查询所有字段,在实际开发中尽量少用(不直观、影响效率) 2.条件查询…...
【文献阅读】The Efficiency Spectrum of Large Language Models: An Algorithmic Survey
这篇文章发表于2024年4月 摘要 大语言模型(LLMs)的快速发展推动了多个领域的变革,重塑了通用人工智能的格局。然而,这些模型不断增长的计算和内存需求带来了巨大挑战,阻碍了学术研究和实际应用。为解决这些问题&…...
玩转大模型——Trae AI IDE国内版使用教程
文章目录 Trae AI IDE完备的 IDE 功能强大的 AI 助手 安装 Trae 并完成初始设置管理项目什么是 “工作空间”?创建项目 管理插件安装插件从 Trae 的插件市场安装从 VS Code 的插件市场安装 禁用插件卸载插件插件常见问题暂不支持安装 VS Code 插件市场中某个版本的插…...
)
【实战 ES】实战 Elasticsearch:快速上手与深度实践-2.3.1 避免频繁更新(Update by Query的代价)
👉 点击关注不迷路 👉 点击关注不迷路 👉 点击关注不迷路 文章大纲 Elasticsearch数据更新与删除深度解析:2.3.1 避免频繁更新(Update by Query的代价)案例背景1. Update by Query的内部机制解析1.1 文档更…...
stable-diffusion-webui 加载模型文件
背景 stable-diffusion-webui 安装完毕后,默认的模型生成的效果图并不理想,可以根据具体需求加载指定的模型文件。国内 modelscope 下载速度较快,以该站为例进行介绍 操作步骤 找到指定的模型文件 在 https://modelscope.cn/models 中查找…...
BKA-CNN基于黑翅鸢算法优化卷积神经网络的数据多特征分类预测Matlab
BKA-CNN基于黑翅鸢算法优化卷积神经网络的数据多特征分类预测Matlab 目录 BKA-CNN基于黑翅鸢算法优化卷积神经网络的数据多特征分类预测Matlab分类效果基本介绍BKA-CNN基于黑翅鸢算法优化卷积神经网络的数据多特征分类预测一、引言1.1、研究背景和意义1.2、研究现状1.3、研究目…...
SparkStreaming之04:调优
SparkStreaming调优 一 、要点 4.1 SparkStreaming运行原理 深入理解 4.2 调优策略 4.2.1 调整BlockReceiver的数量 案例演示: object MultiReceiverNetworkWordCount {def main(args: Array[String]) {val sparkConf new SparkConf().setAppName("Networ…...
maven高级-05.私服
一.私服...
FFmpeg-chapter2-C++中的线程
1 常规的线程 一般常规的线程如下所示 // CMakeProject1.cpp: 定义应用程序的入口点。 //#include "CMakeProject1.h" #include <thread> using namespace std;void threadFunction(int index) {for (int i 0; i < 1000; i){std::cout << "Th…...
【前端】简单原生实例合集html,css,js
长期补充,建议关注收藏点赞。 目录 a标签设置不一样的花样(图片但不用img)侧边固定box分栏input各种类型iframe表单拖拽 a标签设置不一样的花样(图片但不用img) a标签里面不用嵌套img,直接设置为其bg-img即可 <!DOCTYPE html…...
)
Linux下的shell指令(一)
作业 1> 在终端提示输入一个成绩,通过shell判断该成绩的等级 [90,100] : A [80, 90) : B [70, 80) : C [60, 70) : D [0, 60) : 不及格 #!/bin/bash read -p "请输入学生成绩:" score if [ "$score" -ge 90 ] && [ "$scor…...
AJAX介绍
XMLHttpRequest get请求使用 const xhr new XMLHttpRequest(); xhr.open("GET", "/data/test.json", true); xhr.onreadystatechange function () {if (xhr.readyState 4) {if (xhr.status 200) {alert(xhr.responseText);} else {console.log("…...
Serilog: 强大的 .NET 日志库
Serilog 是一个功能强大的日志记录库,专为 .NET 平台设计。它提供了丰富的 API 和可插拔的输出器及格式化器,使得开发者能够轻松定制和扩展日志记录功能。在本文中,我们将探索 Serilog 的基础知识、API 使用、配置和一些常见的示例。 1. 日志…...