常见的应急响应
常見的應(yīng)急響應(yīng)事件分類:
web入侵---網(wǎng)頁掛馬,主頁篡改,webshell
系統(tǒng)入侵---病毒木馬,勒索軟件,遠程后門
網(wǎng)絡(luò)攻擊----DDOs攻擊,DNS劫持,ARP欺騙
一、Windows 入侵排查?
排查思路:
1、 檢查系統(tǒng)賬戶安全---弱口令,可疑賬號,新增賬號,隱藏賬號,克隆賬號
??????????????? net user? 查看可疑賬戶
??????????????? lusrmgr.msc? 檢查管理員組是否有新增賬號等
???????????????? regedit???? 查看注冊表\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 下是否有影子賬戶
???????????????? 查看管理員組賬戶鍵值是否有重復(fù)
???????????????? 或者 D盾_web查殺工具檢查
?????????????? 【隱藏共享方法:共享名后面加$】
2、 結(jié)合日志,查看管理員登錄時間、用戶是否存在異常
?????????????????? windows---eventvwr.msc 導(dǎo)出Windows日志--安全,利用Log Parser進行分析。
?????????????????? linux---cd logs
3、 檢查異常端口????? netstat -anbo? 查看網(wǎng)絡(luò)連接
?????????????????????????????????? msinfo32命令---軟件環(huán)境---正在運行任務(wù)????? 查看進行
?????????????????????????? D盾---查看進程,關(guān)注沒有簽名信息的進程
?????????????????????????? 通過下載微軟官方的process explorer 進行排查,關(guān)注沒有簽名信息、描述信息、進程屬主、進程路徑等信息
?????????????????????????? tasklist/svc? 進程---PID---服務(wù)
????????????????????????? 【win--- C:\Windows\System32\drivers\etc\services? ; linux---etc\services】下查看服務(wù)和端口的對應(yīng)關(guān)系
4、 檢查啟動項,計劃任務(wù),服務(wù)
???????????????????? msconfig---啟動---打開任務(wù)管理器---查看命名異常的啟動目錄
???????????????????? regedit---打開注冊表\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
????????????????????????????????????????????????????? \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
????????????????????????????????????????????????????? 查看右側(cè)是否有異常的啟動項,如果有請刪除,并用殺毒軟件進行病毒查殺
????????????????????? gpedit---計算機配置---windows設(shè)置---
????????????????????? schtasks.exe?? 查看計劃任務(wù)
5、?檢查系統(tǒng)相關(guān)信息---systeminfo命令查看
????????????????????????????? 回收站、瀏覽器下載記錄、瀏覽歷史等
????????????????????????????? web中間件的日志
病毒分析工具
PCHunter:http://www.xuetr.com
火絨劍:https://www.huorong.cn
Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker:https://processhacker.sourceforge.io/downloads.php
autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL:https://www.bleepingcomputer.com/download/otl/
SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector
病毒查殺
卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe (推薦理由:綠色版、最新病毒庫)
大蜘蛛:http://free.drweb.ru/download+cureit+free(推薦理由:掃描快、一次下載只能用1周,更新病毒庫)
火絨安全軟件:https://www.huorong.cn
360殺毒:http://sd.360.cn/download_center.html?
在線病毒網(wǎng)站? ? ? ? ? ? ? ??
CVERC-國家計算機病毒應(yīng)急處理中心:http://www.cverc.org.cn
微步在線威脅情報社區(qū):https://x.threatbook.cn
火絨安全論壇:http://bbs.huorong.cn/forum-59-1.html
愛毒霸社區(qū):http://bbs.duba.net
騰訊電腦管家:http://bbs.guanjia.qq.com/forum-2-1.html
在線病毒掃描
http://www.virscan.org???????????? //多引擎在線病毒掃描網(wǎng) v1.02,當(dāng)前支持 41 款殺毒引擎
https://habo.qq.com??????????????? //騰訊哈勃分析系統(tǒng)
https://virusscan.jotti.org??????? //Jotti惡意軟件掃描系統(tǒng)
http://www.scanvir.com????????? //針對計算機病毒、手機病毒、可疑文件等進行檢測分析
?webshell查殺
D盾_Web查殺:http://www.d99net.net/index.asp
河馬webshell查殺:http://www.shellpub.com
深信服Webshell網(wǎng)站后門檢測工具:http://edr.sangfor.com.cn/backdoor_detection.html
Safe3:http://www.uusec.com/webshell.zip
?
?
二、Linux入侵排查
?
排查思路
賬號安全---用戶信息文件? /etc/passwd?? ---? 查詢特權(quán)用戶 awk -F
????????????????????? 影子文件? /etc/shadow? ---? 查詢可以遠程登錄的賬號信息? awk
???????????????? 除root外,其它賬戶是否存在sudo權(quán)限
???????????????? 禁用或刪除多余的可以賬戶---usermod -L user? 或者? userdel user? 或者 userdel -r user
歷史命令 --- cat? .bash_history 下的 history.txt
檢查異常端口 ---netstat -antlp|more? 運行 ls -l /proc/$PID/exe 或者 file/proc/$PID/exe? 查看所運行的進程文件路徑
檢查異常進程 --- ps aux | grep pid
檢查開機啟動項---runlevel 查看系統(tǒng)運行級別
???????????????????????????? vi /etc/inittab
???????????????????????????? id=3: initdefault?? 修改系統(tǒng)開機后直接進入的運行級別
???????????????????????????? 建立開機啟動自己的腳本的軟連接 ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/s100ssh
檢查定時任務(wù) ---? crontab -l? 列出cron服務(wù)的詳細任務(wù)
????????????????????????? Tips默認crontab文件會保存在/var/spool/cron/用戶名
????????????????????????? crontab -r 刪除每個用戶cron任務(wù)
????????????????????????? crontab -e 使用編輯器編輯當(dāng)前的cron文件
????????????????????????? vi /etc/anacrontab @daily 10 example.daily /bin/bash /home/backup.sh?? 實現(xiàn)異步定時任務(wù)調(diào)度
????????????????????????? 關(guān)注以下目錄是否存在惡意腳本:
?????????????????????????
?????????????
檢查服務(wù)??
? 方法一
? ?方法二
? ?方法三??????????????????????????????
?使用ntsysv命令管理自啟動,可以管理獨立服務(wù)和xinetd服務(wù)?
?chkconfig --list??? 查看服務(wù)自啟動狀態(tài),RPM包安裝的服務(wù)
?ps aux | grep crond?? 查看當(dāng)前服務(wù)???
?/user/local/ 下查看源碼包安裝的的服務(wù)
?service httpd start
?/etc/rc.d/init.d?? 查看是否存在
檢查異常文件 --- 查看敏感目錄,如/tmp目錄下的文件
?注意隱藏文件夾,以 .. 為名的文件
? find /opt -iname "*" -atime 1 -type f? 找出一天前訪問過的文件
?針對可疑文件可以使用stat進行創(chuàng)建修改時間
檢查系統(tǒng)日志 --- /var/log/?? 日志默認的存放位置
? more /etc/rsyslog.conf???? 查看日志配置情況
??
日志分析技巧:
?
????????????????????????????????????
?
?
工具
rootkit查殺? ---?? chkrootkit????????????????? 網(wǎng)址:http://www.chkrootkit.org
??????????????????????
???????????????????????
???????????????????????? Rkhunter?????????????????????? 網(wǎng)址:http://rkhunter.sourceforge.net
?
?
?
病毒查殺Clamav?? ClamAV的官方下載地址為:http://www.clamav.net/download.html
???????????????????
?
????????????????????????????????? 或者?????????????????????????
?
webshell查殺????
???????????? 河馬webshell查殺:http://www.shellpub.com
???????????? 深信服Webshell網(wǎng)站后門檢測工具:http://edr.sangfor.com.cn/backdoor_detection.html
?
RPMcheck檢查
????????????? ./rpm -Va > rpm.log??? 檢查所有的rpm軟件包,查看哪些命令是否被替換了
?
Linux安全檢查腳本?????????
???????????? Github項目地址:
???????????? https://github.com/grayddq/GScan
???????????? https://github.com/ppabc/security_check
???????????? https://github.com/T0xst/linux
?
三、發(fā)現(xiàn)隱藏后門
????? 1、最好的方式就是做文件完整性驗證。
????? 2、我們可以將所有網(wǎng)站文件計算一次hash值保存,當(dāng)出現(xiàn)應(yīng)急情況時,重新計算一次hash值,并與上次保存的hash值進行對比,從而輸出新創(chuàng)建的、修改過及刪除的文件列表。
??????????????? 下載地址:http://www.d99net.net/down/WebShellKill_V2.0.9.zip
??????????????? 文件MD5:29285decadbce3918a4f8429ec33df46 WebShellKill.exe
?????? 3、在linux中,我們經(jīng)常使用diff來比較兩個文本文件的差異。同樣,我們可以通過一行命令快速找出兩個項目文件的差異:?
??????????? diff -c -a -r cms1 cms2
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
總結(jié)
- 上一篇: 打印机 KX-MB788CN 佳能
- 下一篇: c语言961对10取余,全国初中数学竞赛