应急响应
应急响应流程
1.收集信息:根据安全事件现场的情况,收集应急响应所需信息,如安全事件的产生原因、危害程度、受影响资产等。
2.确认安全事件:通过分析收集的信息,确认安全事件的类型和特征,以制定应急响应计划和采取针对性措施。
3.应急处置:针对性地制定具体的应急处置方案,并采取相应的应急措施,如隔离、还原、修复等,以消除安全威胁。
4.收集取证:在应急处置的同时,按照规范的取证程序,收集有关证据,保护好证据完整性和真实性,以支持后续的审查和鉴定工作。
5.风险评估:对应急处理后的网络系统和资源进行评估和检查,识别已排查消除的安全隐患以及可能存在的他人潜在威胁,以制定风险整改计划和安全优化建议。
6.处理后续工作:根据安全事件的情况,着手企业安全投资或网络安全升级,规范完善企业网络安全管理及应急响应能力。网络应急响应流程是在网络安全事件发生时,为保护信息系统安全所做的专门性工作,极大地减少了网络安全威胁带来的损失,提升了网络运维效率,保障了网络的持续稳定运作。
web日志溯源攻击路径的思路
在对WEB日志进行安全分析时,可以按照下面两种思路展开,逐步深入,还原整个攻击过程。
首先确定受到攻击的时间范围,以此为线索,查找这个时间范围内可疑的日志,根据可疑ip、攻击特征等进一步排查(WEB日志会记录客户端对WEB应用的访问请求,这其中包括正常用户的访问请求和攻击者的恶意行为。通过大量的分析,我们发现攻击者在对网站入侵时,向网站发起的请求中会带有特定的攻击特征,如利用WEB扫描器在对网站进行漏洞扫描时往往会产生大量的404错误日志,当有攻击者对网站进行SQL注入漏洞探测时,WEB访问日志中通常会出现and 1=1等字样),最终锁定攻击者,确认攻击的手段,还原攻击过程
网站挂马应急
1.取证,登录服务器,备份,检查服务器敏感目录,查毒(搜索后门文件-注意文件的时间, 用户,后缀等属性),调取日志(系统,中间件日志,WAF日志等)。
2.处理,恢复备份(快照回滚最近一次),确定入侵方法(漏洞检测并进行修复)。
3.溯源,查入侵IP,入侵手法(网路攻击事件)的确定等。
4.记录,归档--------预防-事件检测-抑制-根除-恢复-跟踪-记录通用漏洞的应对等其他 安全应急事件。
入侵排查流程
1、检查系统账号安全查看服务器是否有弱口令,远程管理端口是否公开,查看服务器是否有可疑账号:cmd输入lusrmgr.msc命令查看服务器是否存在隐藏账号、克隆账号结合日志,查看管理员登录时间,用户名是否存在异常
2、检查异常端口、进程检查端口连接情况,是否有远程连接、可疑连接:a、netstat -ano查看目前的网络连接,
定位可疑的ESTABLISHEDb、根据netstat 定位出的pid,再通过tasklist命令进行进程定位 tasklist | findstr “PID”
3、检查启动项、计划任务、服务win+r:输入msconfig,查看异常启动项win+r:输入regedit,打开注册表,查看开机启动项
4、检查系统相关信息win+r:输入systeminfo查看系统信息
5、日志分析win+r:输入eventvwr.msc,打开事件查看器导出应用程序日志,安全日志,系统日志,利用log parser分析
Linux常用应急响应命令
查看用户信息文件
cat /etc/passwd
查看影子文件
cat /etc/shadow
查看系统是否还存在其他的特权账户,uid为0,默认系统只存在root一个特权账户
awk -F: '$3==0{print $1}' /etc/passwd
cat /etc/passwd | grep x:0
查看当前登录用户,以及其登录ip。pts代表远程登录,tty代表本地登陆。
who
查看目前登入系统的用户,以及他们正在执行的程序。
w
查看现在的时间、系统开机时长、目前多少用户登录,系统在过去的1分钟、5分钟和15分钟内的平均负载
uptime
查看密码文件上一次修改的时间,如果最近被修改过,那就可能存在问题。
stat /etc/passwd
查看除了不可登录以外的用户都有哪些,有没有新增的
cat /etc/passwd | grep -v nologin
查看能用bash shell登录的用户。
cat /etc/passwd | grep /bin/bash
查看历史命令
history
查看端口开放和连接情况
netstat -pantu
如果发现可疑外联IP,即可根据对应PID查找其文件路径
ls -l /proc/pid/exe
查看进程
ps -aux
查看关联进程
ps -aux | grep pid
查看cpu占用率前十的进程
ps aux --sort=pcpu | head -10
查看开机启动项
systemctl list-unit-files | grep enabled
查看定时任务
crontab -l
查看root用户任务计划
crontab -u root -l
进程动态监控,默认根据cpu的占用情况进行排序的,按b可根据内存使用情况排序
top
监控指定程序
top -p pid
静态监控
ps -ef
查看host文件是否被篡改
cat /etc/hosts
统计爆破主机root账号的失败次数及ip
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
查看成功登录的日期,用户名,ip
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
查看命令修改时间,防止命令被替换
stat /bin/netstat
linux应急响应
1、文件排查 比如查看tmp(临时文件)
2、启动项排查 查看开机启动项内容 ls -alt /etc/init.d
3、查看命令执行记录 history
4、用户信息排查 cat /etc/passwd
5、计划任务排查 crontab -l 查看计划任务有哪些,是否有后门木马程序
6、进程排查 netstat -antlp ps (显示当前进程的状态)** top** (实时动态地查看系统的整体运行情况)
7、后门排查 河马webshell查杀工具 GScan
8、系统登录日志排查
ssh日志:/var/log/lastlog
查看系统中所有用户最近一次登录信息:lastlog
查看登录失败信息(检查暴力破解攻击):lastb
查看用户最近登录信息:last
数据源:wtmp 存储登录成功的信息、btmp存储登录失败的信息、utmp存储当前正在登录的信息
9、中间件日志排查
apache:/var/log/httpd/ nginx:/var/log/nginx/
windows应急响应
1、查看隐藏的用户,可以通过注册表HKEY_LOCAL_MACHINESAM\SAM\Domans\Aco unt\users\Names,前面带 符号的用户
2、系统启动项排查 msconfig
3、注册表的排查,建议使用杀软去做
4、进程排查 netstat -ano 查看目前的网络连接,定位 ESTABLISHED (两台机器正在通信)
根据 netstat 定位的 pid,再通过 tasklist 显示运行本地或远程算机的所有进程找到进程信息杀死
5、服务排查
6、计划任务排查 schtasks6
7、文件排查: D盾、河马 后门排查: 368、卡巴、诺顿
8、日志排查 windows 登录日志排查 运行 eventwwr
4624 账号成功登录 4625 账号登录失败
9、中间件日志排查
不同中间件有不同日志目录 看 源ip 目的ur1 时间应码 工具: 360星图 (日志结尾一般为 acess.log )
windows加固
1、更新操作系统和软件: 及时安装 Windows 操作系统和软件的安全更新
2、禁用 SMBv1: 由于 SMBv1 协议存在一些严重的漏洞 (永恒之蓝),建议禁用SMBv1 协议
3、启用 UAC: 启用用户账户控制 (UAC) ,以限制非管理员用户的系统访问权限
4、配置防火墙: 使用 Windows 防火墙过滤不必要的网络流量,并确保只允许合法的流量通过
5、使用 BitLocker 或类似的加密工具: 对重要数据和文件进行加密存储,以避免数据泄漏
6、配置组策略: 使用本地组策略或 Active Directory 组策略来限制用户和计算机的访问权限
7、检查安全事件日志: 定期检查 Windows 安全事件日志,了解系统中发生的任何异常事件
8、定期备份数据:定期备份重要数据至外部存储设备,以防止数据丢失和系统损坏
linux加固
1、更新所安装的软件包: 定期更新系统中所有软件包以修复已知漏洞
2、禁用不必要的服务:禁用不必要的网络服务,减少攻击面
3、配置防火墙: 使用防火墙限制入站和出站网络流量,只允许合法的流量通过
4、加强密码策略:设置强密码策略并启用多因素身份验证
5、禁用 root 登录: 禁止使用 root 用户登录系统,并将 sudo 和 su 访问权限限制到必要的人员或组
6、使用SELinux 或AppArmor: 使用 SELinux 或 AppArmor 来实现更细粒度的应用程序和文件访问控制。
7、配置 SSH 访问: 使用 SSH 协议连接服务器时配置限制 P 地址和端口号等安全措施
8、定期备份数据:定期备份重要数据至外部存储设备,以防止数据丢失和系统损坏
挖矿木马应急响应
1、初步预判
判断是否真实遭遇挖矿木马
1.被植入挖矿木马的计算机会出现 CPU 使用率飙升、系统卡顿、部分服务无法正常运行等现象
2.查看天眼的流量分析,是否去别的有危险的网站下载东西,然后在本地执行了挖矿的一些命令
3.挖矿木马会与矿池地址建立连接,看哈是否有外连,向远程ip的请求 netstart -ano 查看所有端口
挖矿木马信息挖掘
查看挖矿木马文件创建时间,查看任务计划创建时间,查看矿池地址,可通过安全监测类设备查看第一次连接矿池地址的时间
判断挖矿木马传播范围
可以利用安全监测类设备查看挖矿范围
了解网络部署环境
网络架构Q、主机数据、系统类型、相关安全设备 (如流量设备、日志监测)等
2、隔离被感染的服务器/主机
在发现挖矿现象后,在不影响业务的前提下应及时隔离当前服务器/机,如禁用非业务使用端口、服务,配置 ACL 白名单,非重要业务系统建议先下线隔离,再做排查
3.确认挖矿进程
确认哪些是挖矿木马正在运行的进程,以便执行后续的清除工作
挖矿程序的进程名称一般表现为两种形式:
。一种是程序命名为不规则的数字或字母
。另一种是伪装为常见进程名
仅从名称上很难辨别。所以在查看进程Q时,无论是看似正常的进程名还是不规则的进程名,只要是 CPU 占用率较高的进程都要逐排查
4.挖矿木马清除
1.阻断矿池地址的连接
在网络层阻断挖矿木马与矿池的通信(封IP)
2.清除挖矿定时任务、启动项、可疑用户、公钥文件等
大部分挖矿进程为了使程序驻留,会在当前服务器/主机中写入定时任务,若只清除挖矿木马,定时任务会直接执行挖矿脚本或再次从服务器下载挖矿进程。所以在清除挖矿木马时,需要查看是否有可疑的定时任务还有的挖矿进程为确保系统重启后挖矿进程还能重新启动,会在系统中添加启动项。所以在清除时还应该关注启动项中的内容由挖矿木马程序创建的用户,可能作为攻击跳板或用作其他攻击操作,当确认为异常用户后,需及时禁用或删除在用户 home 目录的ssh 目录下放置 authoruzed keys 文件,从而免密登录该机器也是一种常见的保持服务器控制权的手段,要予以清楚X
3.清除挖矿木马
需要找到对应进程文件及其相关联的脚本文件一并删除
4.全盘杀毒、加固
使用杀毒软件全盘杀毒,并对系统、应用做安全加固
5.修复漏洞
删除挖矿木马利用的漏洞,防止系统再次“中招”