一、基本思路流程

1. 收集資訊：收集客戶資訊和中毒主機資訊，包括樣本
2. 判斷型別：判斷是否是安全事件，何種安全事件，勒索、挖礦、斷網、DoS 等等
3. 抑制範圍：隔離使受害⾯不繼續擴⼤
4. 深入分析：日誌分析、程序分析、啟動項分析、樣本分析方便後期溯源
5. 清理處置：殺掉程序，刪除檔案，打補丁，刪除異常系統服務，清除後門賬號防止事件擴大，處理完畢後恢復生產
6. 產出報告：整理並輸出完整的安全事件報告

二、Linux入侵排查思路

1.檢視賬號安全，這裡說三個命令。

who 檢視當前登入使用者（tty本地登陸 pts遠端登入）
w 檢視系統資訊，想知道某一時刻使用者的行為
uptime 檢視登陸多久、多少使用者，負載
 

2.檢視歷史命令。

1. 檢視.bash_history檔案
2. 開啟 /home 各帳號目錄下的 .bash_history，檢視普通帳號的歷史命令

3.檢查系統日誌。（/var/log）

（1）首先說一下關於排查是否有爆破，也就是登陸日誌：secure

統計爆破次數：

grep -o "Failed password" /var/log/secure|uniq -c

-o: 只顯示匹配PATTERN 部分。

當然也可以通過匹配第一次爆破和最後一次爆破來確定爆破的時間間隔：

grep "Failed password" /var/log/secure|head -1
grep "Failed password" /var/log/secure|tail -1
 

進一步確定爆破的ip地址和次數：

cat /var/log/secure | awk '/Failed/{print $(NF-3)}' | sort | uniq -c | awk '{print $2" = "$1;}'

 篩選登陸成功的：

grep "Accepted" /var/log/secure

 （2）排查後門木馬程式