应急响应
应急响应
入侵排查
Windows入侵排查
-
检查系统账号安全
-
查看服务器是否有弱口令、是否对外开放公网端口
-
查看用户和组,是否有新增的可疑账号
-
查看注册表是否存在隐藏账号、克隆账号
- 打开cmd输入regedit检查HKEY_LOCAL_MAICHINE/SAM/SAM/Domains/account/user/names/
- 可使用工具如D盾进行检测
- 检查日志,查看超级管理员登陆时间、用户名是否存在异常情况,导出Windows日志-安全,使用微软Log Parser工具进行分析
-
-
检查异常端口、进程
-
检查端口连接情况,是否有远程可疑连接
- 使用netstat -ano命令查看当前的网络连接状况,找出可疑的ESTABLISHED
- 根据netstat命令定位出的PID编号,在使用tasklist | findstr "pid"命令进行程序定位
-
检查是否有可疑进程
- 可通过任务管理器或者使用命令msinfo32查看软件环境---正在运行任务
- 使用D盾或者其他进程管理工具进行排查
-
-
检查启动项、计划任务、服务
-
利用msconfig或任务管理器查看是否有异常自启动程序找到并删除
-
查看开始菜单---所有程序---启动中是否存在异常文件
-
查看注册表是否有异常自启动程序
-
使用regedit命令打开注册表,查看以下路径
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
-
-
查看著策略是否有异常自启动程序
- 使用gpedit.msc打开组策略以此打开计算机配置---Windows设置---脚本(启动/关机)
-
检查计划任务
- 通过控制面板打开计划任务,查看是否有可疑的设置
-
检查服务
-
使用services.msc命令打开服务
- 查看服务状态和启动类型是否有异常的服务
-
-
-
检查系统相关信息
-
通过使用systeminfo命令查看系统信息以及补丁情况
- 尽量安装最新的系统或安全补丁
-
查看浏览器的历史下载记录、历史访问记录、回收站、cookie等
-
-
自动化查杀
-
病毒查杀
- 安装杀毒软件、更新病毒库等
-
Webshell查杀
- 使用Webshell查杀工具
-
-
日志分析
-
通过控制面板打开事件查看器
- 导出应用程序日志、安全日志、系统日志利用日志分析工具Log Parser进行分析
-
Linux入侵排查
-
账号安全
- 查看用户文件/etc/passwd
- 查看密码文件/etc/shadow
- 使用who w等命令进行查看
-
历史命令
- 使用history命令进行查看历史命令
- 查看.bash_history文件查看历史命令
-
检查异常端口
-
使用netstat命令查看并分析可疑端口、IP
- netstat -antlp | more
-
-
检查异常进程
-
使用ps命令,分析进程
- ps aux | more
-
-
检查开机启动项
-
查看开机启动配置文件
- /etc/rc.local
- /etc/rc.d/rc[0~6].d
- /etc/init.d
-
-
检查定时任务
- 使用crontab命令查看计划任务
-
检查服务
- 使用chkconfig查看服务自启动 #centos7以上使用systemctl命令进行查看
-
检查临时文件夹
- /tmp目录
-
检查系统日志
- 检查/var/log目录
常见的的Webshell查杀工具
- D盾
- 河马
- Web Shell Detector
- Find Web Shell
- 在线Web Shell 查杀工具
勒索病毒自求
-
勒索病毒搜索引擎
- 360
- 腾讯
- 深信服
- 启明
-
勒索病毒解密工具
- 腾讯哈勃
- 金山毒霸
- 火绒
- 卡巴斯基
日志分析
Windows日志分析
-
事件查看器
-
系统日志
- 记录操作系统组件产生的事件,包括驱动程序、系统组件、应用程序的崩溃和数据丢失错误等
-
应用程序日志
- 记录应用程序运行方面的事件
-
安全日志
- 记录系统的安全审计事件,包括各种类型的登陆日志、访问日志、进程追踪日志、特权使用、账号管理、策略变更、系统事件等。
-
-
策略审核
-
开启审核策略
- gpedit.msc---计算机配置---Windows设置---安全设置---本地策略---审核策略
-
-
事件日志常用事件ID
-
事件ID
- 4624登陆成功
- 4625登陆失败
- 4634注销成功
- 4647用户启动的注销
- 4672使用超级用户进行登陆
- 4720创建用户
-
-
日志分析工具
- 微软Log Parser
Linux日志分析
-
日志位置
-
/var/log/cron
- 系统定时任务相关
-
/var/log/cups
- 打印信息日志相关
-
/var/log/dmesg
- 开机时内核自检信息
-
/var/log/mailog
- 邮件信息
-
/var/log/message
- 系统重要信息 #比重+1
-
/var/log/btmp
- 错误登录日志(二进制文件不能直接查看)使用lastb命令查看
-
/var/log/lastlog
- 系统中所有用户最后一次登录时间(二进制文件)使用lastlog命令查看
-
/var/log/wtmp
- 永久记录用户的登陆、注销同时记录系统的重启、开机和关机信息(二进制文件,使用last命令查看)
-
/var/log/utmp
- 当前已登陆用户信息、实时变化(不能直接查看,使用w,who,users等命令进行查看)
-
/var/log/secure
- 验证和授权方面的信息,设计账号和密码的程序都会记录
-
Web日志分析
-
日志分析
- 确定入侵时间的范围,根据时间范围排查可疑的日志,进行进一步排查,确定攻击者还原攻击的全过程
- 查找是否存在后门维持权限,找到该文件进行分析排查
-
分析工具
- 列出当天访问次数最大多的IP
- 查看当天有多少个IP访问
- 查看某一页面访问次数
- 查看某一IP访问了多少个页面
- 将每个IP访问的页面数进行从小到大进行排序
-
日志分析思路
-
定位攻击源
-
搜索相关日志记录
-
对访问日志进行解读
- 是否存在各种类型的木马、漏洞
-
统计爬虫
-
统计浏览器
-
IP统计
-
统计网段
-
统计域名
-
流量统计
-
SQL Server日志分析
MySQL日志分析
权限维持
Windows权限维持
-
隐藏
-
隐藏文件
- 利用文件属性进而对文件或文件夹隐藏
- 解决办法,在文件夹选项卡,取消勾选隐藏受保护的操作系统文件
-
驱动级隐藏文件
- 可通过sc命令对文件进行查询删除等
-
隐藏用户
- 隐藏用户通过注册进行创建可手动对注册表SAM进行排查或使用D盾等工具进行排查
-
端口复用
-
进程注入
- 可通过TCPview、火绒剑等进行定位
-
-
后门
- 注册表自启动
- 组策略设置脚本启动
- 计划任务
- 服务自启动
- WMI后门
- dll劫持
- COM劫持
- 远程控制
Linux权限维持
-
隐藏
-
隐藏文件
- Linux下隐藏文件使用.开头的命名方式
- 可使用ls -a进行查看隐藏文件
-
隐藏权限
- chattr命令、ACL权限等
-
隐藏历史操作命令
- [space] set +o history 关闭历史记录
- [space] set -o history 恢复历史记录
-
隐藏远程SSH登陆
- 隐藏登陆不会被w、who等命令进行检测
-
端口复用
-
隐藏进程
- cpu使用过高,无法通过top和ps等命令查找到程序
- 可使用unhide工具发现隐藏的进程和端口
-
-
后门
- 异常用户
- SUID Shell
- ssh公钥免密登陆
- 软连接
Windows实战
FTP暴力破解
-
禁止使用FTP传输文件,若开放应限制管理IP地址并加强口令安全审计
-
更改服务器FTP默认端口
-
部署入侵检测设备,增强安全防护
-
应急处理
- 关闭公网FTP端口映射
- 删除本地FTP服务器
蠕虫病毒
-
发现异常
- 防火墙
- 本地端口连接情况主动向外网发起大量连接
-
病毒查杀
- 360
- 火绒
- 金山毒霸
- 卡巴斯基
-
确定病毒
- 使用在线引擎对病毒分析,确认感染病毒类型
-
病毒处理
- 使用蠕虫专杀工具进行查杀
-
预防措施
- 安装杀毒定期扫描
- 定期修复漏洞安装补丁
- 重要资料做好备份措施
勒索病毒
-
通过在线引擎对病毒进行判断
-
下载专用解密攻击
-
预防措施
- 安装杀毒软件、定期扫描
- 及时安装更新安全补丁
- 重要资料做好备份
ARP病毒
挖矿病毒
Linux实战
SSH暴力破解
捕捉短链接
挖矿病毒
盖茨木马
DDOS病毒
XMind - Trial Version
