应急响应相关
入侵事件:
信息收集:日志文件,进程列表,网络连接,系统配置(系统版本以及已安装的补丁和配置文件、用户信息、操作记录)
分析异常:收集不寻常的进程、网络流量或文件更改
确认入侵点:确定攻击者肯呢个入侵的方式,检测是否有未修复的漏洞
隔离受感染的系统
恢复系统:清除恶意代码,修复受损部分,通过备份恢复数据和配置文件(关键点数据备份)
收集证据:收集入侵事件的详细信息,包括攻击时间、入侵方式、影响范围、损失情况等
top:显示系统中最占用cpu和内存的进程
ps:显示当前系统所有运行的进程列表
netstat:显示网络连接状态和统计信息,如打开的网络端口、TCP/UDP连接和网络接口等
ifconfig:显示网络接口的状态和配置信息
ping/traceroute:测试网络是否连通(ICMP协议被防火墙禁止的时候可能说明不了)
df/du:磁盘信息
ls/lsof:查看打开的文件、目录和文件描述符
strace/ltrace:跟踪应用程序执行期间的系统调用和库函数调用
tcpdump:捕获网络数据包并将其记录到日志文件中,以便进行后续分析
tail:实时监视日志文件,并显示最新添加的日志信息
应急响应:
确认事件:了解具体情况(发生事件、影响范围、受影响的系统和服务,是否存在病毒感染等情况)
收集证据:通过系统提供的命令,截图(进程信息,网络流量信息,文件系统状态信息)或者保存日志
分析数据:对得到的日志和网络流量数据等进行分析(分析系统是否遭到攻击和所受的攻击方式)
阻止攻击:确认收到攻击之后,立即采取措施,保护现有系统,隔离有害的部分,降低损失。(封锁网络、隔离主机,漏洞扫描)
制定应急响应计划:确保系统能够迅速恢复正常的运行状态。应急响应计划应该包括恢复数据、修复漏洞、加强安全防御等方面
检测webshell:
查看web服务器的访问日志,webshell一般会有向非标准端发送请求
安全扫描工具:nessus、OpenVAS
安全监控:在有异常文件读写的时候警报
内存监控
安全审计:对Web服务器进⾏安全审计,检查是否存在安全漏洞,例如⽂件上传漏洞、命令注⼊漏洞等
Java内存马,也称为Java远程代码执⾏漏洞,是⼀种利⽤Java反序列化漏洞的攻击⽅式。攻击者可以通过构造恶意的序列化对象,将其发送给⽬标服务器并触发反序列化操作,从⽽在⽬标服务器上执⾏任意代码。
- 追踪⽇志⽂件:如果系统已经被攻击,应该⾸先检查系统的⽇志⽂件,查找异常的请求或响应内容,并结合其他的信息确定是否存在Java内存马。
- 检查⽹络流量:可以使⽤Wireshark等⽹络抓包⼯具来监视服务器的⽹络流量,并分析报⽂中的数据内容,查找是否存在异常的Java序列化数据。
- 检查反序列化漏洞:Java内存马利⽤了Java反序列化漏洞,因此我们可以使⽤⼀些反序列化漏洞扫描⼯具(如 ysoserial)来检测系统是否受到这类漏洞的影响,并及时修补漏洞。
- 检查系统进程:Java内存马通常会在⽬标服务器上启动⼀个新的进程来执⾏恶意代码,因此可以通过检查系统进程列表,查找是否存在不明确的、异常的进程。
- 安装安全软件:为了更好地保障系统的安全性,可以安装⼀些专业的安全软件,如杀毒软件、⼊侵检测系统(IDS)等,并定期进⾏扫描和审计。