网络安全-应急响应

应急响应是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。流程为准备阶段-启动阶段-抑制阶段-根除阶段-恢复阶段-跟进阶段

应急响应常见分类为： web入侵：网页挂马、主页篡改、Webshell;系统入侵：病毒木马、勒索软件、远控后门;网络攻击：DDOS攻击、DNS劫持、ARP欺骗;针对常见的攻击事件，结合工作中应急响应事件分析和解决的方法，总结了一些Window服务器入侵排查的思路。

账号安全：1、用户信息文件/etc/passwd 2、影子文件密码/etc/shadow who查看当前登录用户（tty本地登陆 pts远程登录） w 查看系统信息，想知道某一时刻用户的行为 uptime 查看登陆多久、多少用户，负载 入侵排查:1、查询特权用户特权用户(uid 为0 awk -F: '$3==0{print $1}' /etc/passwd2、查询可以远程登录的帐号信息awk '/\\$1|\\$6/{print $1}' /etc/shadow3、除root帐号外，其他帐号是否存在sudo权限。如非管理需要，普通帐号应删除sudo权限more /etc/sudoers | grep -v \"^#\\|^$\" | grep \"ALL=(ALL)\" 禁用或删除多余及可疑的帐号 usermod -L user 禁用帐号，帐号无法登录，/etc/shadow第二栏为!开头

历史命令：保存1万条命令sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile 历史操作命令的清除：history -c cat .bash_history >> history.txt

端口：使用netstat 网络连接命令，分析可疑端口、IP、PID 查看下pid所对应的进程文件路径，运行ls -l /proc/$PID/exe或file /proc/$PID/exe（$PID 为对应的pid 号）

进程 使用ps命令，分析进程ps aux | grep pid

开机启动项 0关机1单用户模式，可以想象为windows的安全模式，主要用于系统修复2不完全的命令行模式，不含NFS服务3完全的命令行模式，就是标准字符界面4.系统保留5.图形模式6.重启 查看运行级别命令 runlevel系统默认允许级别vi /etc/inittabid=3：initdefault 系统开机后直接进入哪个运行级别 开机启动配置文件/etc/rc.local13;/etc/rc.d/rc[0~6].d

定时任务

服务启动 自启动第一种 chkconfig [--level 运行级别] [独立服务名] [on|off]chkconfig –level 2345 httpd on 开启自启动chkconfig httpd on （默认level是2345）第二种修改/etc/rc.d/rc.local 文件 加入 /etc/init.d/httpd start 第三种使用ntsysv命令管理自启动，可以管理独立服务和xinetd服务。

系统日志 日志默认存放位置：/var/log/查看日志配置情况：more /etc/rsyslog.conf

工具篇 1.Rootkit查杀 chkrootkit工具 wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz rkhunter工具Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz 2.病毒查杀 Clamav工具 3.webshell查杀  河马webshell查杀：http://www.shellpub.com  深信服Webshell网站后门检测工具：http://edr.sangfor.com.cn/backdoor_detection.html4.RPM check查杀 、RPM check检查系统完整性可以通过rpm自带的-Va来校验检查所有的rpm软件包，查看哪些命令是否被替换了：./rpm -Va > rpm.log

入侵排查思路

linux

检查系统账号安全：1、查看服务器是否有弱口令，远程管理端口是否对公网开放。2、查看服务器是否存在可疑账号、新增账号。检查方法：打开 cmd 窗口，输入lusrmgr.msc命令，查看是否有新增/可疑的账号，如有管理员群组的（Administrators）里的新增账户，如有，请立即禁用或删除掉。3、查看服务器是否存在隐藏账号、克隆账号。检查方法：a、打开注册表 ，查看管理员对应键值。b、使用D盾_web查杀工具，集成了对克隆账号检测的功能。4、结合日志，查看管理员登录时间、用户名是否存在异常。检查方法：a、Win+R打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”。b、导出Windows日志--安全，利用Log Parser进行分析。

检查异常端口，进程 ：1、检查端口连接情况，是否有远程连接、可疑连接。检查方法：a、netstat -ano 查看目前的网络连接，定位可疑的ESTABLISHEDb、根据netstat 定位出的pid，再通过tasklist命令进行进程定位 tasklist | findstr “PID”2、进程检查方法：a、开始--运行--输入msinfo32，依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息，比如进程路径、进程ID、文件创建日期、启动时间等。b、打开D盾_web查杀工具，进程查看，关注没有签名信息的进程。c、通过微软官方提供的 Process Explorer 等工具进行排查 。d、查看可疑的进程及其子进程。可以通过观察以下内容：没有签名验证信息的进程没有描述信息的进程，进程的属主，进程的路径是否合法，CPU或内存资源占用长时间过高的进程3、小技巧：a、查看端口对应的PID： netstat -ano | findstr “port”b、查看进程对应的PID：任务管理器--查看--选择列--PID 或者 tasklist | findstr “PID”c、查看进程对应的程序位置：任务管理器--选择对应进程--右键打开文件位置运行输入 wmic，cmd界面 输入 processd、tasklist /svc 进程--PID--服务e、查看Windows服务所对应的端口： ​ %system%/system32/drivers/etc/services（一般%system%就是C:\\Windows）

检查启动项、计划任务、服务：1、检查服务器是否有异常的启动项。2、检查计划任务3、服务自启动

检查系统相关信息：1、查看系统版本以及补丁信息2、查找可疑目录及文件

自动化查杀病毒查杀检查方法：下载安全软件，更新最新病毒库，进行全盘扫描。webshell查杀检查方法：选择具体站点路径进行webshell查杀，建议使用两款webshell查杀工具同时查杀，可相互补充规则库的不足。

入侵检查思路

windows\t

应急响应