网络安全-应急响应
2023-09-30 10:53:24 0 举报
AI智能生成
网络安全应急响应属于常规日常工作中比较重要的部分,也是考验工作人员实际应急能力的体现,该思维导图中主要是体现两个方面,Windows系统应急,Linux系统应急
作者其他创作
大纲/内容
应急响应是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。流程为准备阶段-启动阶段-抑制阶段-根除阶段-恢复阶段-跟进阶段
应急响应常见分类为: web入侵:网页挂马、主页篡改、Webshell;系统入侵:病毒木马、勒索软件、远控后门;网络攻击:DDOS攻击、DNS劫持、ARP欺骗;针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排查的思路。
linux
入侵排查思路
账号安全:
1、用户信息文件/etc/passwd
2、影子文件密码/etc/shadow who查看当前登录用户(tty本地登陆 pts远程登录) w 查看系统信息,想知道某一时刻用户的行为 uptime 查看登陆多久、多少用户,负载
入侵排查:
1、查询特权用户特权用户(uid 为0 awk -F: '$3==0{print $1}' /etc/passwd
2、查询可以远程登录的帐号信息awk '/\$1|\$6/{print $1}' /etc/shadow
3、除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)" 禁用或删除多余及可疑的帐号 usermod -L user 禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头
1、用户信息文件/etc/passwd
2、影子文件密码/etc/shadow who查看当前登录用户(tty本地登陆 pts远程登录) w 查看系统信息,想知道某一时刻用户的行为 uptime 查看登陆多久、多少用户,负载
入侵排查:
1、查询特权用户特权用户(uid 为0 awk -F: '$3==0{print $1}' /etc/passwd
2、查询可以远程登录的帐号信息awk '/\$1|\$6/{print $1}' /etc/shadow
3、除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)" 禁用或删除多余及可疑的帐号 usermod -L user 禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头
历史命令:保存1万条命令sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile
历史操作命令的清除:history -c cat .bash_history >> history.txt
历史操作命令的清除:history -c cat .bash_history >> history.txt
端口:使用netstat 网络连接命令,分析可疑端口、IP、PID 查看下pid所对应的进程文件路径,运行ls -l /proc/$PID/exe或file /proc/$PID/exe($PID 为对应的pid 号)
进程 使用ps命令,分析进程
ps aux | grep pid
ps aux | grep pid
开机启动项
0关机
1单用户模式,可以想象为windows的安全模式,主要用于系统修复
2不完全的命令行模式,不含NFS服务
3完全的命令行模式,就是标准字符界面
4.系统保留
5.图形模式
6.重启 查看运行级别命令 runlevel系统默认允许级别
vi /etc/inittab
id=3:initdefault 系统开机后直接进入哪个运行级别 开机启动配置文件
/etc/rc.local13;/etc/rc.d/rc[0~6].d
0关机
1单用户模式,可以想象为windows的安全模式,主要用于系统修复
2不完全的命令行模式,不含NFS服务
3完全的命令行模式,就是标准字符界面
4.系统保留
5.图形模式
6.重启 查看运行级别命令 runlevel系统默认允许级别
vi /etc/inittab
id=3:initdefault 系统开机后直接进入哪个运行级别 开机启动配置文件
/etc/rc.local13;/etc/rc.d/rc[0~6].d
定时任务
服务启动
自启动第一种 chkconfig [--level 运行级别] [独立服务名] [on|off]
chkconfig –level 2345 httpd on 开启自启动
chkconfig httpd on (默认level是2345)
第二种修改/etc/rc.d/rc.local 文件
加入 /etc/init.d/httpd start 第三种使用ntsysv命令管理自启动,可以管理独立服务和xinetd服务。
自启动第一种 chkconfig [--level 运行级别] [独立服务名] [on|off]
chkconfig –level 2345 httpd on 开启自启动
chkconfig httpd on (默认level是2345)
第二种修改/etc/rc.d/rc.local 文件
加入 /etc/init.d/httpd start 第三种使用ntsysv命令管理自启动,可以管理独立服务和xinetd服务。
系统日志 日志默认存放位置:/var/log/
查看日志配置情况:more /etc/rsyslog.conf
查看日志配置情况:more /etc/rsyslog.conf
工具篇
1.Rootkit查杀
chkrootkit工具 wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
rkhunter工具Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz
2.病毒查杀 Clamav工具
3.webshell查杀
河马webshell查杀:http://www.shellpub.com
深信服Webshell网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.html
4.RPM check查杀 、RPM check检查
系统完整性可以通过rpm自带的-Va来校验检查所有的rpm软件包,查看哪些命令是否被替换了:
./rpm -Va > rpm.log
1.Rootkit查杀
chkrootkit工具 wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
rkhunter工具Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz
2.病毒查杀 Clamav工具
3.webshell查杀
河马webshell查杀:http://www.shellpub.com
深信服Webshell网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.html
4.RPM check查杀 、RPM check检查
系统完整性可以通过rpm自带的-Va来校验检查所有的rpm软件包,查看哪些命令是否被替换了:
./rpm -Va > rpm.log
windows
入侵检查思路
检查系统账号安全:
1、查看服务器是否有弱口令,远程管理端口是否对公网开放。
2、查看服务器是否存在可疑账号、新增账号。检查方法:打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。
3、查看服务器是否存在隐藏账号、克隆账号。检查方法:
a、打开注册表 ,查看管理员对应键值。
b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。
4、结合日志,查看管理员登录时间、用户名是否存在异常。检查方法:
a、Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。
b、导出Windows日志--安全,利用Log Parser进行分析。
1、查看服务器是否有弱口令,远程管理端口是否对公网开放。
2、查看服务器是否存在可疑账号、新增账号。检查方法:打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。
3、查看服务器是否存在隐藏账号、克隆账号。检查方法:
a、打开注册表 ,查看管理员对应键值。
b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。
4、结合日志,查看管理员登录时间、用户名是否存在异常。检查方法:
a、Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。
b、导出Windows日志--安全,利用Log Parser进行分析。
检查异常端口,进程 :
1、检查端口连接情况,是否有远程连接、可疑连接。
检查方法:
a、netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED
b、根据netstat 定位出的pid,再通过tasklist命令进行进程定位 tasklist | findstr “PID”
2、进程检查方法:
a、开始--运行--输入msinfo32,依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期、启动时间等。
b、打开D盾_web查杀工具,进程查看,关注没有签名信息的进程。
c、通过微软官方提供的 Process Explorer 等工具进行排查 。
d、查看可疑的进程及其子进程。可以通过观察以下内容:没有签名验证信息的进程
没有描述信息的进程,进程的属主,进程的路径是否合法,CPU或内存资源占用长时间过高的进程
3、小技巧:
a、查看端口对应的PID: netstat -ano | findstr “port”
b、查看进程对应的PID:任务管理器--查看--选择列--PID 或者 tasklist | findstr “PID”
c、查看进程对应的程序位置:
任务管理器--选择对应进程--右键打开文件位置
运行输入 wmic,cmd界面 输入 process
d、tasklist /svc 进程--PID--服务
e、查看Windows服务所对应的端口: %system%/system32/drivers/etc/services(一般%system%就是C:\Windows)
1、检查端口连接情况,是否有远程连接、可疑连接。
检查方法:
a、netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED
b、根据netstat 定位出的pid,再通过tasklist命令进行进程定位 tasklist | findstr “PID”
2、进程检查方法:
a、开始--运行--输入msinfo32,依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期、启动时间等。
b、打开D盾_web查杀工具,进程查看,关注没有签名信息的进程。
c、通过微软官方提供的 Process Explorer 等工具进行排查 。
d、查看可疑的进程及其子进程。可以通过观察以下内容:没有签名验证信息的进程
没有描述信息的进程,进程的属主,进程的路径是否合法,CPU或内存资源占用长时间过高的进程
3、小技巧:
a、查看端口对应的PID: netstat -ano | findstr “port”
b、查看进程对应的PID:任务管理器--查看--选择列--PID 或者 tasklist | findstr “PID”
c、查看进程对应的程序位置:
任务管理器--选择对应进程--右键打开文件位置
运行输入 wmic,cmd界面 输入 process
d、tasklist /svc 进程--PID--服务
e、查看Windows服务所对应的端口: %system%/system32/drivers/etc/services(一般%system%就是C:\Windows)
检查启动项、计划任务、服务:1、检查服务器是否有异常的启动项。2、检查计划任务3、服务自启动
检查系统相关信息:1、查看系统版本以及补丁信息2、查找可疑目录及文件
自动化查杀病毒查杀
检查方法:下载安全软件,更新最新病毒库,进行全盘扫描。webshell查杀
检查方法:选择具体站点路径进行webshell查杀,建议使用两款webshell查杀工具同时查杀,可相互补充规则库的不足。
检查方法:下载安全软件,更新最新病毒库,进行全盘扫描。webshell查杀
检查方法:选择具体站点路径进行webshell查杀,建议使用两款webshell查杀工具同时查杀,可相互补充规则库的不足。
日志分析分析方法:
a、前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。
b、Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。
C、导出应用程序日志、安全日志、系统日志,利用Log Parser进行分析。
WEB访问日志,分析方法:
a、找到中间件的web日志,打包到本地方便进行分析。
b、推荐工具:Window下,推荐用 EmEditor/notepad++ 进行日志分析,支持大文本,搜索效率还不错。 Linux下,使用Shell命令组合查询分析
a、前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。
b、Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。
C、导出应用程序日志、安全日志、系统日志,利用Log Parser进行分析。
WEB访问日志,分析方法:
a、找到中间件的web日志,打包到本地方便进行分析。
b、推荐工具:Window下,推荐用 EmEditor/notepad++ 进行日志分析,支持大文本,搜索效率还不错。 Linux下,使用Shell命令组合查询分析
0 条评论
下一页