一�����、未授權訪問類事件
未授權訪問是Linux系統常見的安全威脅�����,主要表現為攻擊者通過猜測密碼�����、利用漏洞或異常IP嘗試登錄系統�。日志中常見的記錄包括:
- 多次登錄失敗:如
Failed password for invalid user admin from 192.168.1.100(來自無效用戶的多次密碼錯誤嘗試)��,可能暗示暴力破解����;
- 成功登錄但來源異常:如合法用戶從陌生IP地址登錄(如管理員平時從內網登錄���,突然出現公網IP的登錄記錄)����,需警惕賬戶泄露��;
- 權限提升嘗試:如
sudo命令的使用記錄(sudo: pam_unix(sudo:session): session opened for user root by admin)��,需核查是否為用戶本人操作�����。
二����、惡意軟件活動類事件
惡意軟件(病毒�、蠕蟲����、木馬���、rootkit)會篡改系統文件�����、竊取數據或建立后門����。日志中的異常表現包括:
- 異常系統調用:如
auditd記錄的未授權文件訪問(AVC apparmor="DENIED" operation="open" profile="usr.sbin.rsyslogd" name="/var/log/auth.log")����,可能是惡意程序試圖修改日志��;
- 可疑進程/網絡連接:如
ps aux顯示的未知進程(如/tmp/malware)�����、netstat顯示的異常端口連接(如連接到陌生IP的4444端口)����,可能為惡意程序運行痕跡����;
- 文件完整性破壞:如
aide(高級入侵檢測環境)報告的關鍵文件(如/bin/ls�����、/etc/passwd)被修改或刪除���,提示系統可能被植入惡意代碼�����。
三����、權限濫用/提升類事件
權限濫用或提升會導致攻擊者獲得系統控制權�����,常見日志記錄包括:
- sudo命令濫用:如普通用戶頻繁使用
sudo執行高危命令(如rm -rf /�、chmod 777 /etc)����,需核查是否符合權限管理規范��;
- SUID/SGID濫用:如
find / -perm -4000 -o -perm -2000發現的異常SUID/SGID程序(如/usr/bin/vi被篡改為SUID)����,可能被用于提權�����;
- 賬戶權限變更:如
usermod -aG sudo attacker(將攻擊者賬戶加入sudo組)����,需確認是否為授權操作��。
四�����、數據泄露類事件
數據泄露涉及敏感信息的非法傳輸或存儲���,日志中的線索包括:
- 敏感數據傳輸:如
tcpdump捕獲的大量密碼�、信用卡號傳輸(如POST /login HTTP/1.1" 200 1234 "username=admin&password=123456")���,可能為數據竊??;
- 異常文件訪問:如
auditd記錄的敏感文件(如/etc/shadow����、/var/www/html/config.php)被讀取或下載���,需核查是否為未授權訪問��;
- 外部傳輸記錄:如
iftop���、nethogs顯示的大量數據外發(如192.168.1.100 -> 203.0.113.5:443傳輸1GB數據)�,可能為數據外泄����。
五���、拒絕服務攻擊(DoS/DDoS)類事件
DoS/DDoS攻擊通過大量請求耗盡系統資源�����,日志中的表現包括:
- 大量無效請求:如
sshd日志中的多次連接嘗試(Invalid user test from 192.168.1.100 port 56789)����,可能是暴力破解或SYN Flood�;
- 資源耗盡記錄:如
top顯示的CPU�、內存占用100%(如PID 1234 (apache2) CPU 99.9%)�����,或netstat顯示的大量半連接(SYN_RECV狀態)�����,導致服務不可用����;
- 網絡流量異常:如
iftop顯示的異常流量峰值(如入站流量突然從10Mbps漲到100Mbps)���,提示可能遭受DDoS攻擊�。
六����、配置錯誤類事件
配置錯誤(如開放不必要端口��、弱密碼)會引入安全風險����,日志中的提示包括:
- 開放不必要端口:如
netstat -tuln顯示的開放端口(如22/tcp(SSH)����、80/tcp(HTTP)外的3306/tcp(MySQL)暴露在公網)��,可能被攻擊者利用���;
- 弱密碼策略:如
fail2ban記錄的多次密碼猜測成功(brute-force attempt succeeded for user admin)����,提示密碼強度不足�����;
- 過時軟件:如
yum list updates顯示的未更新軟件包(如openssh-server-7.4p1存在已知漏洞)����,可能被針對性攻擊�。
七�����、內部威脅類事件
內部人員(員工����、合作伙伴)的惡意行為或誤操作也是安全風險��,日志中的表現包括:
- 未經授權的數據訪問:如普通用戶訪問敏感目錄(如
/var/www/html/config.php)的記錄(access denied for user john to /var/www/html/config.php)���,可能為內部竊??����;
- 敏感文件修改:如
auditd記錄的內部用戶修改關鍵文件(如/etc/passwd添加惡意賬戶)�,需核查操作合法性����;
- 誤操作記錄:如
rm -rf /home(刪除用戶目錄)���、iptables -F(清空防火墻規則)等命令����,可能是員工誤操作導致系統故障��。
八��、網絡攻擊類事件
網絡攻擊(如SQL注入��、XSS���、MITM)會破壞系統或竊取數據���,日志中的線索包括:
- SQL注入:如Web服務器日志中的異常查詢(
SELECT * FROM users WHERE username='' OR '1'='1'--)��,提示應用程序存在SQL注入漏洞�;
- 跨站腳本(XSS):如
access.log中的惡意腳本(<script>alert('xss')</script>)被提交到Web應用�����,可能導致用戶會話劫持�����;
- 中間人攻擊(MITM):如
ssl_error_bad_cert_domain(SSL證書域名不匹配)����、tcpdump捕獲的流量篡改(如HTTP響應被修改)�����,提示通信被攔截�����。
