应急响应常用命令

应急响应常用命令

windows系统

查看资源占用情况

taskmgr

查看当前系统会话

query user 

踢出用户登录

lusrmgr.msc

查看本地用户和组

lusrmgr.msc

查看本地管理员组是否存在非法用户

net localgroup administrators

使用Wmic查看系统统中是否有非法用户

wmic  UserAccount get Description,name

从注册表查看是否有隐藏的非法用户

reg query HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 

从注册表中查看是否有其他账户的F值和000001F4的F值一样

reg query HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4 -v F

定位可疑的连接

netstat -ano | findstr ""

查看端口

netstat -ano | findstr "port"

定位进程

tasklist | findstr PID

查看进程名关联的dll文件

tasklist /m /FI "IMAGENAME eq WEChatstore.exe"

查看pid关联的dll文件

tasklist /m /FI "PID eq 3664"

查看最近使用文件

start %UserProfile%\Recent 

查看隐藏文件

dir /S /A:H

查看最近的文件记录情况

reg query HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths

查看浏览器记录

reg query HKEY_CURRENT_USER\Software\Microsoft\Internet" "Explorer\TypedURLs" 

查看host文件

start C:\Windows\System32\drivers\etc\hosts

查看计划任务

taskschd

查看计划任务

schtasks 

查看系统变量

msinfo32

查看系统变量

wmic ENVIRONMENT get caption,name,VariableValue

查看有无可疑启动项

msconfig

查看启动项的名称和进程

wmic STARTUP get Caption,Command,Location

查看启动项的名称和进程

regedit HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 

日志路径

C:\Windows\System32\winevt\Logs

必看日志

Security.evtx、System.evtx、Application.evtx
主要是查看安全日志，使用语法：eventvwr ，定位到Windows日志中的安全日志，可以通过筛选和查找进行日志分析，也可导出通过LogParser来进行分析。也可以使用findstr进行关键字匹配，使用语法：findstr /s /m /I “UploadFiles” *.log

查找具有关键字的日志内容，使用语法：

findstr /s /i /r "select script acunetix sqlmap whoami jsky Netsparker AppScan" *.log

工具

PowerTOOL #进程分析工具
PC hunter   #进程分析工具，下载地址：http://www.xuetr.com/
AutoRuns   #启动项管理工具
windodws-logs-analysis  #日志分析工具, 下载地址：https://github.com/dogadmin/windodws-logs-analysis
D盾  #查杀工具

自动化查杀
1、病毒查杀
检查方法：下载安全软件，更新最新病毒库，进行全盘扫描。
2、webshell查杀
检查方法：选择具体站点路径进行webshell查杀，建议使用多款webshell查杀工具同时查杀，
可相互补充规则库的不足。
3、使用findstr进行关键字匹配，使用语法：
Eg：某次博彩事件中的六合彩信息是six.js
findstr /s /m /I “six.js” .aspx
根据shell名关键字去搜索D盘spy相关的文件有哪些
for /r d:\ %i in (spy*.aspx) do @echo %i

linux系统

查看历史命令

cat ~/.bash_history

查看历史命令

history 

查看资源占用情况

通过查看内存、CPU使用情况，定位出不正常的程序，使用语法：top
按1后，再输入shitf+p 以cpu占用排序，按shift+m 以内存占用排序；
另外也可以使用free来查看，使用语法：free
为了更直观，我们使用df来进行查看，使用语法：df -h
然后进到根目录使用du查看具体占用空间的目录，使用语法：
du -h --max-depth=1 （后面的如果二级目录不多的情况可以把1改为2）

查看网卡是否处于混杂模式

ifconfig | grep PROMISC

查看是否有新增的非法用户

cat /etc/passwd | awk -F ":" '{print $1,$3,$4,$7}' | grep '/.*sh'

查看账户登录情况

lastlog

查看当前系统会话

who

查看当前网络连接情况

netstat -ntup

实时查看网络连接情况

watch netstat -ntup

查看对应进程文件路径

ls -l /proc/PID/exe

查看端口连接情况

lsof -i:port

以数字显示端口连接情况

lsof -PnR -i:port

查看hosts文件

cat /etc/hosts

查看计划任务

crontab -l

查看计划任务文件

more /etc/crontab
more /etc/cron.daily
more .etc.cron.* 

查看最近登录情况

lastb

查看最近成功登录情况

last

显示系统变量

env

显示系统变量

echo $PATH 

查看是否有可疑启动项

ls -l /etc/rc.d/rc[0-6].d/ |grep init.d | sort | uniq -c （CentOS）
ls -l /etc/rc[0-6].d/ |grep init.d | sort | uniq -c （Ubuntu）
more /etc/rc.local

查看最近修改的文件（0表示24小时内，1表示48-24小时）

find / -mtime 0 -name "*.jsp"

查看最近60分钟内修改的文件

find / mmin -60 -name "*.jsp"

流量分析

tcpdump tcp -i eth0 -s 0 -c 100 -nn -w ./target.cap 

查看日志
不同的Linux，日志存放路径可能存在一定的误差，主机层面的
日志路径基本都是/var/log，登陆安全日志主要是secure或者
auth.log，web层面的日志主要是access日志和error日志，可以
使用locate以及find去查询具体的日志路径，使用语法

locate -r '/access[._]log'
find / -regex '.*/access[._]log‘
grep [option] pattern file

统计访问日志中IP的访问频率并排序输出，使用语法

cat /var/log/apache2/access.log | awk '{print $1}' | uniq -c | sort -nr

通过使用常见攻击特征进行分析日志，使用语法：

grep '(select|script|acunetix|sqlmap|whoami|jsky|Netsparker|AppScan)'  /var/log/httpd/access_log
grep -E '(select|script|acunetix|sqlmap|whoami|jsky|Netsparker|AppScan)'  /var/log/apache2/access.log

如果木马做了免杀处理，可以查看是否使用加密函数：

 find / -type f -name "*.php"|xargs grep "base64_decode"

是否做了拼接处理：

 find / -type f -name "*.php"|xargs grep "@$“

查看安全日志secure（或者 /var/log/auth.log，视具体服务器），查看登录失败的情况，使用语法

 grep "Failed password" /var/log/secure*
 grep "Failed password" /var/log/message*

自动化查杀
rootkits检测
检查方法：下载rootkits检测工具进行检查，如：Rootkit Hunter（RKHunter）、Chkrootkit、ClamAV等。
webshell查杀
检查方法：选择具体站点路径进行webshell查杀，也可打包到Windows下进行查杀，建议使用多款webshell查杀工具同
时查杀，可相互补充规则库的不足。
使用find进行关键字匹配（根据实际情况进行对应调整），使用语法：

find /var/www/ -name "*.php" | xargs egrep 'assert | phpspy | c99sh | milw0rm | eval | \( gunerpress | \(bas464_encode | 
spider _bc | shell_exec | passthru | \(\$\_\POST\[|eval\(str_rotl3 | .chr\c|\$\{\"\_P|eval\C\$\_R | file_put_contents\C\.\*\$\_ 
| base64_decode'

查看权限为777的脚本文件来进行综合判断，使用语法：

find / -name *.php -perm 777

工具
Chkrootkit是一款用来检测rootkit的软件，下载地址：http://www.chkrootkit.org/download/，解压并编译：make sense
whohk