应急响应

  • 五元组
    源IP地址、源端口、目的IP地址、目的端口、传输层协议
    sip、sport、dip、dport
  • 中了木马病毒应急事件
    1、首先及时隔离机器,断网,不能利用主机接着攻击
    2、确定攻击范围,是否通过内网渗透了更多机器
    3、保留样本,分析攻击是如何发起的,攻击方法,查看流量包,及时对攻击者的ip进行反制溯源
    4、恢复机器,及时清理后门,对系统进行重装
    5、及时修改密码,防止获取更多密码
  • 如何判断webshell连接是否为真实攻击
    1、查看连接来源:查看连接的IP地址和端口,如果是一个可信赖的IP地址和端口,可能是误报
    2、分析连接行为:查看连接事件,频率,尝试连接的目标,如果是正常的流量相符合,可能是误报
    3、检查文件:检查服务器上的文件是否存在异常,比如未知的PHP、ASP、JSP文件等,如果发现可疑文件,可能是真是的webshell连接。
    4、检查日志:检查服务器访问日志和安全日志等,查看是否存在可以的行为或攻击尝试行为,如果是可能存在webshell连接。
  • 如何排查挖矿病毒(CPU拉满、服务器卡顿、网络阻塞)
    1、检查系统资源占用情况:挖矿木马会占用大量的CPU或GPU资源,导致系统变得非常缓慢,可以使用windows的任务管理器(ctrl+shift+ESC)或者Linux的top命令查看。
    netstat:netstat -ano 查看进程列表: tasklist windows还可以用wmic分析进程参数
    任务管理器netstat -anp寻找异常进程PID看端口信息,然后根据端口信息定位文件,cd/proc/PID (ls -l 查看) 禁止可疑服务项。
    2、查看网络连接情况:挖矿木马会通过网络连接到挖矿池,上传挖矿结果并下载新的挖矿任务,可以使用netstat命令或者使用wireshark等网络抓包工具来检查网络连接请情况;
    3、检查系统进程表:挖矿木马会在系统中创建新的进程,使用ps命令或者windows的任务管理器来检查系统进程列表;
    4、扫描系统文件:挖矿木马可能会修改系统文件来隐藏自己,可以使用杀毒软件或者命令行扫描工具进行扫描
  • 挖矿事件如何处置
    1、找到挖矿事件开始事件
    2、根据时间寻找攻击遗迹,看看cpu占用,进程,计划任务,可疑用户;
    3、备份样本文件,上传沙箱获取攻击行为并尝试溯源;
    4、及时清理后门,删除可疑计划任务,进程,启动项,文件等
    5、完成修复



本文作者:予遂计划

本文链接:https://www.cnblogs.com/ysjh/p/18714939

版权声明:本作品采用知识共享署名-非商业性使用-禁止演绎 2.5 中国大陆许可协议进行许可。

posted @ 2025-02-14 10:56  予遂计划  阅读(0)  评论(0编辑  收藏  举报
点击右上角即可分享
微信分享提示
💬
评论
📌
收藏
💗
关注
👍
推荐
🚀
回顶
收起
  1. 1 404 not found REOL
404 not found - REOL
00:00 / 00:00
An audio error has occurred.