设为首页 - 加入收藏 泰安香港财神报 (http://www.0538zz.com)- 国内知名站长资讯网站,提供最新最全的站长资讯,创业经验,网站建设等!
热搜: 2016 为什么 系统 服务器
当前位置: 首页 > 香港财神报 > 外闻 > 正文

Linux服务器安全事件应急的一些随笔 - 备份篇

发布时间:2018-09-02 16:09 所属栏目:[外闻] 来源:硬土壳安全
导读:副标题#e# 9月15日技术沙龙 | 如何将智能化和运维工作相结合,实现智能运维! 前言 最近连着碰到几起Linux服务器的安全应急响应,之前这方面的经验也不是很足,都是平时刷刷大家写的文章靠着一些Linux下的基础知识去分析着这几次碰到的事件,事后想想,在面
9月15日技术沙龙 | 如何将智能化和运维工作相结合,实现智能运维!

前言

最近连着碰到几起Linux服务器的安全应急响应,之前这方面的经验也不是很足,都是平时刷刷大家写的文章靠着一些Linux下的基础知识去分析着这几次碰到的事件,事后想想,在面对这几次的应急事件有很多地方考虑的不是很全面,随写此文纪录下心中所想。尽量用系统本身最基础的功能完成前期应急取证的备份工作。

划重点

重要的事情说四遍

备份! 备份!备份!备份!

原始数据的备份在应急响应分析过程中的重要性不言而喻,但在这几次的应急事件中甲方爸爸貌似都忽略了这个问题,当我们到达现场的时候,甲方爸爸要么是已经将被入侵服务器糟蹋了一波,要么是备份了,也只备份了一波日志。

Linux服务器安全事件应急的一些随笔 - 备份篇

系统镜像备份

备份

  1. #?dd?if=/dev/sda?of=bak.img?

恢复

  1. #?dd?if=bak.img?of=/dev/sdb?

fdisk -l 查看磁盘分区情况

  1. #?fdisk?-lDisk?/dev/sda:?8589?MB,?8589934592?bytes255?heads,?63?sectors/track,?1044?cylinders?
  2. Units?=?cylinders?of?16065?*?512?=?8225280?bytes?
  3. Sector?size?(logical/physical):?512?bytes?/?512?bytes?
  4. I/O?size?(minimum/optimal):?512?bytes?/?512?bytes?
  5. Disk?identifier:?0x000a7707?
  6. ?
  7. ???Device?Boot??????Start?????????End??????Blocks???Id??System?
  8. /dev/sda1???*???????????1????????1013?????8136891???8e??Linux?LVM?
  9. /dev/sda2????????????1014????????1044??????249007+???5??Extended?
  10. /dev/sda5????????????1014????????1044??????248976???83??Linux?

df -h 查看磁盘占用情况

  1. #?df?-hFilesystem????????????Size??Used?Avail?Use%?Mounted?on/dev/mapper/brokenwebapps-root??????????????????????7.3G??5.8G??1.2G??84%?/none??????????????????497M??176K??497M???1%?/devnone??????????????????502M???12K??502M???1%?/dev/shmnone??????????????????502M??300K??501M???1%?/var/runnone??????????????????502M?????0??502M???0%?/var/locknone??????????????????502M?????0??502M???0%?/lib/init/rwnone??????????????????7.3G??5.8G??1.2G??84%?/var/lib/ureadahead/debugfs?
  2. /dev/sda5?????????????228M???44M??173M??21%?/boot?
  3. /dev/sdb1??????????????12G??159M???12G???2%?/test?

# dd if=/dev/sda of=bak.img 进行备份,等个几分钟,备份完成

Linux服务器安全事件应急的一些随笔 - 备份篇

备份完成后发送至我们的分析系统

  1. #?scp?bak.img?root@192.168.232.132:/root/?

Linux服务器安全事件应急的一些随笔 - 备份篇

挂载分析

  1. 分析系统环境?-?kali?

通过losetup命令虚拟一个loop设备挂载镜像

查看第一个空闲loop设备

  1. #?losetup?-f/dev/loop0?

【免责声明】本站内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

网友评论
推荐文章