基于黑客行为的Linux系统入侵排查方法

摘要

本发明涉及信息安全技术领域，公开了一种基于黑客行为的Linux系统入侵排查方法，包括步骤S1，对服务器自身进行安全性检查，确定是否存在自身安全隐患；步骤S2，通过脚本执行命令分析、文件分析和日志分析从而确定是否存在黑客定点打击行为；步骤S3，通过脚本执行进程分析、工具分析和网络地址分析从而确定是否存在黑客横向打击行为；根据步骤S1至步骤S3中获取的自身安全隐患信息、黑客定点打击行为信息和黑客横向打击行为信息生成黑客行为排查报告。应用本发明，可以高效、准确、深入、全面排查出可能的黑客入侵行为。

说明书

技术领域

本发明涉及信息安全测试技术领域，尤其涉及一种基于黑客行为的Linux系统入侵排查方法。

背景技术

在互联网蓬勃发展的同时，非法黑客组织也试图通过攻击业务系统服务器，控制业务系统服务器达到不可告人的目的。黑客攻击行为会在不知不觉的情况下窃取私密信息或者造成服务器宕机、网络瘫痪、信息丢失等损失。

现有技术中，业务系统服务器针对黑客入侵痕迹的发现分为主动方式和被动方式两种。被动的黑客入侵行为发现方式，主要包括：网页页面被篡改或者被挂暗链；监管机构监测该服务器与境外恶意主机进行通讯；因挖矿等导致服务器运行不畅；数据泄露，导致数据在境外或暗网传播；对内网其他机器攻击，被安全设备发现告警。主动的黑客入侵行为发现方式，主要包括：通过安全运维发现存在以asp、php、jsp等网页文件形式存在的网页后门(webshell)；通过安全运维发现内网出现内网穿透代理服务器（NPS）或反向代理应用（FRP）的转发；通过安全运维发现蜜罐、APT等内网设备出现攻击痕迹。

目前针对黑客行为的检测方法缺乏系统性及有效性，无法有效发现隐藏较深的黑客入侵，导致服务器长期被控。

发明内容

本发明的一个目的是解决至少上述问题，并提供至少后面将说明的优点。

本发明还有一个目的是提供一种基于黑客行为的Linux系统入侵排查方法，从而达到及时、有效、全面、完备发现黑客入侵行为的目的。

为实现上述目的和一些其他的目的，本发明采用如下技术方案：

本发明提供的一种基于黑客行为的Linux系统入侵排查方法，包括以下步骤：

步骤S1，对服务器自身进行安全性检查，确定是否存在自身安全隐患；

步骤S2，通过脚本执行命令分析、文件分析和日志分析从而确定是否存在黑客定点打击行为；

步骤S3，通过脚本执行进程分析、工具分析和网络地址分析从而确定是否存在黑客横向打击行为；

步骤S4，根据步骤S1至步骤S3中获取的自身安全隐患信息、黑客定点打击行为信息和黑客横向打击行为信息生成黑客行为排查报告。

进一步地，所述步骤S1中对服务器自身进行安全性检查，包括但不限于以下任一项或它们的组合：端口排查、root权限账户排查、空口令账户排查、sudoers文件用户权限排查、各账户下登录公钥排查、账户密码文件权限排查、DNS配置排查、Iptables防火墙配置排查、hosts配置排查、Web系统漏洞检测。

进一步地，所述步骤S2中所述执行命令分析、文件分析和日志分析的步骤，采用串行方式依次执行命令分析、文件分析和日志分析，或者采用并行方式同步执行命令分析、文件分析和日志分析。

优选地，所述命令分析具体是通过对涉及文件相关操作命令的历史记录进行时间区间或命令条数区间内的频次分析，若频次超过告警阈值且涉及敏感文件或文件路径则确定存在黑客定点打击行为。

优选地，所述文件分析具体包括：通过对存在网页后门的网页文件、重要文件完成性、启动项和SSH后门进行检测，确定是否存在黑客长期控制服务器的后门脚本或攻击程序。

优选地，所述日志分析的步骤具体包括：通过对 secure登录日志、计划任务、web日志、wtmp登录日志、utmp登录日志、lastlog登录日志进行分析，确定是否存在黑客执行的转发登录或攻击扫描操作。

进一步地，所述步骤S3中所述执行进程分析、工具分析和网络地址分析的步骤，采用串行方式依次执行进程分析、工具分析和网络地址分析，或者采用并行方式同步执行进程分析、工具分析和网络地址分析。

优选地，所述进程分析的步骤具体包括：通过对CPU和内存使用异常进程排查、隐藏进程排查、反弹shell类排查、NPS/FRP代理转发类排查、恶意进程信息排查、进程对应脚本或可执行文件进行检查，确定是否存在涉及内存进程的横向入侵行为。

优选地，所述工具分析具体包括：通过对涉及后门类、转发类、端口探测类、rootkit、漏洞扫描类和/或挖矿勒索病毒类的渗透工具进行分析，确定是否存在黑客横向入侵行为，若存在则确定入侵目的。

优选地，所述网络地址分析具体包括：通过对服务器中出现的境外IP地址、反弹shell和建立通讯中出现的境外IP地址进行有效分析，从而确定是否存在黑客横向入侵行为。

本发明的根据基于黑客行为的Linux系统入侵排查方法，与现有技术相比，能够实现以下有益的效果：

首先，基于黑客行为，对黑客入侵Linux服务器可能涉及的关键路径进行分析，在进行安全自检后分别针对定向入侵行为及横向入侵行为进行了有序完整的检测排查，避免有技术中仅靠运维人员手动排查时因为现个人能力问题遗漏重要信息；

进一步地，通过对隐藏进程、隐藏文件进行深度全面排查可以解决恶意脚本发现难等问题；同时，针对通过对CPU，内存等异常进行检测，确保机器不被黑客当作跳板机或者挖矿机，还可以根据黑客渗透工具类型确定黑客攻击的意图及目的。

本发明的其它优点、目标和特征将部分通过下面的说明体现，部分还将通过对本发明的研究和实践而为本领域的技术人员所理解。

附图说明

图1是本发明实施例中基于黑客行为的Linux系统入侵排查方法流程图。

具体实施方式

下面结合附图对本发明做详细说明，以令本领域普通技术人员参阅本说明书后能够据以实施。

针对现有技术无法去除部分恶意文件，而对隐藏较深的恶意文件（如内存马，rootkit）、隐藏进程无法有效发现的问题，本发明主要分析黑客在入侵Linux服务器获取权限后采取的攻击行为，通过对黑客攻击行为分析，能够有效确定是否被入侵，是否仍有残留风险，可以及时发现隐藏的风险及漏洞。同时为了有效打击黑客行为，通过合理安排排查手段及流程，一方面可以确保黑客行为排查的全面性避免遗漏关键信息，另一方面也可以综合各种排查手段的排查结果形成排查证据，以供后续协助警方深入调查，打击从事黑客行为的组织或个人。

针对黑客入侵行为，首先需要分析黑客入侵的路径，通常包括以下几种行为路径：

第一，信息收集：黑客入侵方在入侵之前通常会对攻击目标进行踩点调查，确定攻击目标涉及的资产和漏洞，并对攻击目标所属机构的机构信息以及人员个人信息进行收集。

第二，定点打击（两种模式）：模式A，利用漏洞进入系统，上传webshell，反弹shell或木马进行远程控制；模式B，通过人员信息进行钓鱼，控制个人机器跳转至服务器。

第三，横向拓展：以被入侵的服务器为据点，拓展内网其他服务器，多据点潜伏，继续获取其他服务器权限。

第四，纵向突破：寻找能够同时访问不同网段的机器或者交换机，继续深入获取其他服务器权限。

根据上述黑客行为，可以分析出黑客入侵的共同特点，包括：特点1：黑客不了解系统内容，必须要对文件进行操作，反复执行ls，cd，cat等命令；特点2：黑客不了解网络架构，需要使用ICMP等轻量级探测工具；特点3：黑客需要对机器进行长期控制，必然会留下远程控制脚本，甚至于启动项等也加入控制脚本。

如图1所示，根据对黑客行为进行分析，给出了一种基于黑客行为的Linux系统入侵排查方法，包括以下步骤：

步骤S1，对服务器自身进行安全性检查，确定是否存在自身安全隐患；

其中，对服务器自身进行安全性检查，包括但不限于以下任一项或它们的组合：端口排查、root权限账户排查、空口令账户排查、sudoers文件用户权限排查、各账户下登录公钥排查、账户密码文件权限排查、DNS配置排查、Iptables防火墙配置排查、hosts配置排查、Web系统漏洞检测。

步骤S2，通过脚本执行命令分析、文件分析和日志分析从而确定是否存在黑客定点打击行为；其中，执行命令分析、文件分析和日志分析的步骤，采用串行方式依次执行命令分析、文件分析和日志分析，或者采用并行方式同步执行命令分析、文件分析和日志分析。

所述命令分析具体是通过对涉及文件相关操作命令的历史记录进行时间区间或命令条数区间内的频次分析，若频次超过告警阈值且涉及敏感文件或文件路径则确定存在黑客定点打击行为。例如，黑客通过上传或者命令执行的方式获取服务器Linux系统权限后，需要多次执行ls，cd，cat，vi,vim等操作命令，可通过histroy获取操作指令，对每30行命令中ls，cd，cat出现的频次进行统计分析，达到50%以上并且出现敏感路径或敏感文件名即可初步判定为攻击行为。

所述文件分析具体包括：通过对存在webshell网页后门的网页文件、重要文件完成性、重要文件权限、启动项和SSH后门进行检测，确定是否存在黑客长期控制服务器的后门脚本或攻击程序，通过文件分析检测，有效找到黑客长期控制服务器的后门脚本，攻击程序。

所述日志分析具体包括：通过对 secure登录日志、计划任务、web日志、wtmp登录日志、utmp登录日志和lastlog登录日志分析，确定是否存在黑客执行的转发登录或攻击扫描操作。这是因为黑客行为中可能做转发登录、攻击扫描等操作，对 secure登录日志、计划任务、web日志、wtmp登录日志、utmp登录日志和lastlog登录日志分析能够有效发现黑客攻击行为。

步骤S3，通过脚本执行进程分析、工具分析和网络地址分析从而确定是否存在黑客横向打击行为；其中，所述执行进程分析、工具分析和网络地址分析的步骤，采用串行方式依次执行进程分析、工具分析和网络地址分析，或者采用并行方式同步执行进程分析、工具分析和网络地址分析。

所述进程分析的步骤具体包括：通过对CPU和内存使用异常进程排查、隐藏进程排查、反弹shell类排查、NPS/FRP代理转发类排查、恶意进程信息排查、进程对应脚本或可执行文件进行检查，确定是否存在涉及内存进程的横向入侵行为。这是因为在黑客横向渗透过程中，往往会在内存进程中进行操作，并且通过转发，反弹等操作继续对内部进行攻击，CPU和内存使用异常进程排查、隐藏进程排查、反弹shell类排查、NPS/FRP代理转发类排查、恶意进程信息排查或进程对应脚本（可执行文件检查），通过进程分析能够有效发现黑客攻击行为。

所述工具分析具体包括：通过对涉及后门类、转发类、端口探测类、rootkit、漏洞扫描类和挖矿勒索病毒类的渗透工具进行分析，确定是否存在黑客横向入侵行为，若存在则确定入侵目的。在黑客攻击中，往往会使用各种攻击工具，其中后门类、转发类、端口探测类、rootkit、漏洞扫描类、挖矿勒索病毒类这六类为最常见的6类，针对黑客横向渗透工具发现能够有效定位黑客攻击意图。

所述网络地址分析具体包括：通过对服务器中出现的境外IP地址、反弹shell和建立通讯中出现的境外IP地址进行有效分析，从而确定是否存在黑客横向入侵行为。黑客攻击一般使用境外代理，或者使用境外IP作为主控端，并且在Linux中常用反弹shell的操作，所以针对内部机器中出现的境外IP，反弹shell和建立通讯中出现的境外IP进行有效分析。

步骤S4，根据步骤S1至步骤S3中获取的自身安全隐患信息、黑客定点打击行为信息、黑客横向打击行为信息生成黑客行为排查报告。

根据基于黑客行为的Linux系统入侵排查方法，利用脚本执行结果获得黑客行为排查报告及具体检测内容后，若发现存在黑客入侵行为，根据检测排查结果作为依据进行报警，警方立案后检测排查结果可以作为重要的证据材料。

本发明的根据基于黑客行为的Linux系统入侵排查方法，与现有技术相比，能够实现以下有益的效果：

首先，基于黑客行为，对黑客入侵Linux服务器可能涉及的关键路径进行分析，在进行安全自检后分别针对定向入侵行为及横向入侵行为进行了有序完整的检测排查，避免有技术中仅靠运维人员手动排查时因为现个人能力问题遗漏重要信息；

进一步地，通过对隐藏进程、隐藏文件进行深度全面排查可以解决恶意脚本发现难等问题；同时，针对通过对CPU，内存等异常进行检测，确保机器不被黑客当作跳板机或者挖矿机，还可以根据黑客渗透工具类型确定黑客攻击的意图及目的。

尽管本发明的实施方案已公开如上，但其并不仅仅限于说明书和实施方式中所列运用，它完全可以被适用于各种适合本发明的领域，对于熟悉本领域的人员而言，可容易地实现另外的修改，因此在不背离权利要求及等同范围所限定的一般概念下，本发明并不限于特定的细节和这里所示出与描述的图例。