应急响应
- 五元组
源IP地址、源端口、目的IP地址、目的端口、传输层协议
sip、sport、dip、dport - 中了木马病毒应急事件
1、首先及时隔离机器,断网,不能利用主机接着攻击
2、确定攻击范围,是否通过内网渗透了更多机器
3、保留样本,分析攻击是如何发起的,攻击方法,查看流量包,及时对攻击者的ip进行反制溯源
4、恢复机器,及时清理后门,对系统进行重装
5、及时修改密码,防止获取更多密码 - 如何判断webshell连接是否为真实攻击
1、查看连接来源:查看连接的IP地址和端口,如果是一个可信赖的IP地址和端口,可能是误报
2、分析连接行为:查看连接事件,频率,尝试连接的目标,如果是正常的流量相符合,可能是误报
3、检查文件:检查服务器上的文件是否存在异常,比如未知的PHP、ASP、JSP文件等,如果发现可疑文件,可能是真是的webshell连接。
4、检查日志:检查服务器访问日志和安全日志等,查看是否存在可以的行为或攻击尝试行为,如果是可能存在webshell连接。 - 如何排查挖矿病毒(CPU拉满、服务器卡顿、网络阻塞)
1、检查系统资源占用情况:挖矿木马会占用大量的CPU或GPU资源,导致系统变得非常缓慢,可以使用windows的任务管理器(ctrl+shift+ESC)或者Linux的top命令查看。
netstat:netstat -ano 查看进程列表: tasklist windows还可以用wmic分析进程参数
任务管理器netstat -anp寻找异常进程PID看端口信息,然后根据端口信息定位文件,cd/proc/PID (ls -l 查看) 禁止可疑服务项。
2、查看网络连接情况:挖矿木马会通过网络连接到挖矿池,上传挖矿结果并下载新的挖矿任务,可以使用netstat命令或者使用wireshark等网络抓包工具来检查网络连接请情况;
3、检查系统进程表:挖矿木马会在系统中创建新的进程,使用ps命令或者windows的任务管理器来检查系统进程列表;
4、扫描系统文件:挖矿木马可能会修改系统文件来隐藏自己,可以使用杀毒软件或者命令行扫描工具进行扫描 - 挖矿事件如何处置
1、找到挖矿事件开始事件
2、根据时间寻找攻击遗迹,看看cpu占用,进程,计划任务,可疑用户;
3、备份样本文件,上传沙箱获取攻击行为并尝试溯源;
4、及时清理后门,删除可疑计划任务,进程,启动项,文件等
5、完成修复
本文作者:予遂计划
本文链接:https://www.cnblogs.com/ysjh/p/18714939
版权声明:本作品采用知识共享署名-非商业性使用-禁止演绎 2.5 中国大陆许可协议进行许可。
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步