win8风格网站 源码,wordpress去除手机版,电商网站改版方案,网站建设和维护待遇怎样目录
一、概述二、理论 系统排查 系统基本信息 windowsLinux用户信息 WindowsLinux启动项#xff1a;开机系统在前台或者后台运行的程序#xff0c;是病毒等实现持久化驻留的常用方法。 WindowsLinux任务计划#xff1a;由于很多计算机都会自动加载“任务计划”#xff0c…目录
一、概述二、理论 系统排查 系统基本信息 windowsLinux用户信息 WindowsLinux启动项开机系统在前台或者后台运行的程序是病毒等实现持久化驻留的常用方法。 WindowsLinux任务计划由于很多计算机都会自动加载“任务计划”因此任务计划也是病毒实现持久化驻留的一种常用手段。 WindowsLinux其它进程排查 WindowsLinux服务排查 WindowsLinux文件痕迹排查 WindowsLinux日志排查 Windows在运行对话框中输入eventvwr打开事件查看器窗口可查看windows相关日志。Linux内存分析流量分析威胁情报三、工具四、场景 1、勒索病毒网络安全应急响应2、挖矿木马网络安全应急响应3、Webshell网络安全应急响应4、网页篡改网络安全应急响应5、DDos攻击网络安全应急响应6、数据泄露网络安全应急响应7、流量劫持网络安全应急响应 一、概述
1、概念 应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认识、有所准备以便在遇到突发网络安全事件时做到有序应对、妥善处理。 2、PDCERF(6阶段) a.准备阶段预防为主例如扫描、风险分析、打补丁等。简历监控措施、简历数据汇总分析体系、制定能够实现应急响应目标的策略和规程建立信息沟通渠道建立能够集合起来处理突发事件的体系。 b.检测阶段检测事件是已经发生的还是正在进行中的以及事件产生的原因。确定事件性质和影响的严重程度以及预计采用什么样的专用资源来修复。 c.抑制阶段限制攻击/破坏波及的范围同时也是降低潜在的损失。抑制策略完全关闭所有系统从网络上断开主机或断开网络部分修改所有防火墙和路由器过滤规则封锁或删除被攻击的登录账号加强对系统和网络行为的监控设置诱饵服务器进一步获取事件信息关闭受攻击的系统或其它相关系统的部分服务。 d.根除阶段:通过事件分析找出根源并彻底根除以避免攻击者再次使用相同的手段攻击系统。 e.恢复阶段把被破坏的信息彻底换原到正常运作状态。 f.总结阶段回顾并整合应急响应过程的相关信息进行事后分析总结和修订安全计划、政策、程序并进行训练以防止入侵的再次发生。3、网络安全应急响应场景勒索病毒、挖矿木马、Webshell、网页篡改、DDos攻击、数据泄露、流量劫持。4、网络安全应急响应处理流程 事件类型 时间范围 系统排查 进程排查 服务排查 文件痕迹排查 日志分析 得出结论
二、理论
系统排查
系统基本信息
windows msinfo32系统信息显示本地计算机的硬件资源、组件和软件环境信息。正在运行任务、服务、系统驱动程序、加载的模块、启动程序等进行排查。 systeminfo系统信息主机名、操作系统版本等详细信息。 Linux lscpuCPU信息型号、主频、内核等。 uname -a操作系统信息 cat /proc/version操作系统版本信息 lsmod所有载入系统的模块信息 用户信息
Windows net user查看用户账户信息看不到以$结尾的隐藏用户 net user username查看用户名为username用户的详细信息 lusrmgr.msc打开本地用户与组可查看隐藏用户 打开计算机管理-本地用户与组可查看隐藏用户 wmic useraccount get name,sid查看系统中的所有用户 注册表查看是否存在克隆账户regedit打开注册表选择HKEY_LOCAL_MACHHINE下的SAM选项为该项添加允许父项的继承权限传播到该对象和所有子对象。包括那些在此明确定义的目标和用在此显示的可以应用到子对象的项目替代所有子对象的权限项目权限使当前用户拥有SAM的读取权限。添加之后F5刷新即可访问子项并查看用户信息。同时在此项下导出所有00000开头的项将所有导出的项与000001F4对应Administrator用户导出内容做比较若其中的F值相同则表示可能为克隆账户。 Linux 查看所有用户信息cat /etc/passwd 后续各项由冒号隔开分别表示用户名、密码加密、用户ID、用户组ID、注释、用户主目录、默认登录shell。最后显示 bin/bash的表示账户状态可登录显示sbin/nologin的不可登陆。 awk -F: ‘{if($30)print $1}’ /etc/passwd 查询登录账户UID0的账户root是uid等于0的账户如果出现其它的账户就要重点排查 查看可登录账户cat /etc/passwd | grep ‘/bin/bash’ 查看用户错误的登录信息lastb包括错误的登录方法、ip、时间等 查看所有用户最后的登录信息lastlog 查看用户最近登录信息last 查看当前用户登录系统信息who 查看空口令账户awk -F: ‘length($2)0 {print $1}’ /etc/shadow 启动项开机系统在前台或者后台运行的程序是病毒等实现持久化驻留的常用方法。
Windows msconfig可查看启动项的详细信息 注册表查看 HKEY_CLASSES_ROOT:此处存储的信息可确保在windows资源管理器中执行时打开正确的程序。它还包含有关拖放规则、快捷方法和用户界面信息的更多详细信息 HKEY_CURRENT_USER:包含当前登录系统的用户的配置信息有用户的文件夹、屏幕颜色和控制面板设置 HKEY_LOCAL_MACHINE:包含运行操作系统的硬件特定信息有系统上安装的驱动器列表及已安装硬件和应用程序的通用配置 HKEY_USERS包含系统上所有用户的配置信息有应用程序配置和可视配置 HKEY_CURRENT_CONFIG:存储有关系统当前配置信息。 查看注册表中的信息reg query “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” Linux cat /etc/init.d/rc.local cat /etc/rc.local ls -alt /etc/init.d 查看init.d文件夹下的所有文件的详细信息 任务计划由于很多计算机都会自动加载“任务计划”因此任务计划也是病毒实现持久化驻留的一种常用手段。
Windows eventvwr打开事件查看器可看日志 打开计算机管理——系统工具——任务计划程序——任务计划程序库可查看任务计划的名称、状态、触发器等信息 命令行输入schtasks可获取任务计划信息要求是本地Administrator组的成员 在PowerShell下输入get-scheduledtask 可查看当前系统中所有任务计划信息包括路径、名称、状态等详细信息。 Linux crontab -l可查看当前任务计划 crontab -u root -l查看root用户的任务计划指定用户 查看etc目录下的任务计划文件一般在linux系统中的任务计划文件是以cron开头的可以利用正则表达式的筛选出etc目录下的所有以cron开头的文件具体表达式为/etc/cron,例如查看etc目录下的所有任务计划文件就可以输入ls /etc/cron命令。 /etc/crontab /etc/cron.d/ /etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/* /etc/cron.weekly/ /etc/anacrontab 其它 windows防火墙的入站规则和出站规则 netsh 查看 netsh firewall show state:显示当前防火墙的网络配置状态 进程排查
是计算机中的程序关于某数据结合的一次运行活动是系统进行资源分配和调度的基本单位是操作系统结构的基础。主机在感染恶意程序后恶意程序都会启动相应的进程来完成相关的恶意操作有的恶意进程为了不被查杀还会启动相应的守护进程来对恶意进程进行守护。
Windows 通过任务管理器查看 tasklist可显示计算机中的所有进程可查看进程的映像名称、PID、会话等信息 tasklist /svc可以显示每个进程和服务对应的情况 tasklist /m查询加载的DLL tasklist /m wmiutils.dll :查询特定dll的调用情况 tasklist /svc /fi “pid eq 284”过滤器功能eq等于、nq不等于、gt大于、lt小于、ge大于等于、le小于等于、 netstat可显示网络连接的信息包括活动的TCP连接、路由器和网络接口信息是一个监控TCP/IP网络的工具。 端口定位程序通过netstat定位处PID然后用tasklist查看具体的程序例如netstat -ano |findstr “3306” 定位出pid6616 tasklist |find “6616” netstat -anb 3306端口快速定位程序需要管理员权限 powershell排查对于有守护进程的进程许确认子父进程之间的关系 get-wmiobject win32_process | select name,processid,parentprocessid,path wmic命令查询可对进程进行查询以csv格式来显示进程名称、父进程id、进程id wmic process get name,parentprocessid,processid/format:csv Linux netstat:分析可以端口、分析可疑ip地址、可疑pid及程序进程 ls -alt /proc/PID查看PID为600的进程可执行程序 lsof -p PID:查看进程所打开的文件 kill -9 PID结束进程 rm -rf filename 删除名为filename的文件 如果root用户都无法删除相关文件可能是因为该文件被加上了i属性使用lsattr filename 查看文件属性然后用chattr -i filename 可移除i属性进而删除文件。也有因为进程存在守护进程而无法被删除可先将进程挂起查杀守护进程后再返回将进程删除。补充chattr i filename 加i属性。 查看隐藏进程顺序执行以下三条命令 ps -ef | awk ‘{print}’|sort -n |uniq1 ls /proc |sort -n |uniq2 diff 1 2 top可用于挖矿进程排查显示占用率较高的进程。 服务排查
服务可以理解为运行在后台的进程服务可以在计算机启动时自动启动也可暂停和重启而且不显示任何用户界面服务非常适合在服务器上使用通常在为了不影响在同一天计算机上工作的其它用户且需要长时间运行功能时使用。在应急响应中服务作为一种运行在后台的进程是恶意软件常用的驻留方法。
Windows services.msc打开服务窗口查看所有的服务项包括服务的名称、描述、状态等。 Linux chkconfig --list可查看系统运行的服务 service --status-all可查看所有服务的状态 文件痕迹排查
恶意软件、木马、后门都会在文件维度上留下痕迹排查思路 对恶意软件常用的敏感路径进行排查 在确定了应急响应事件的时间点后对时间点前后的文件进行排查 对带有特征的恶意软件进行排查包括代码关键字或关键函数、文件权限特征。 Windows 敏感目录 各个盘下的temp(tmp)相关目录有些恶意程序释放字体(即恶意程序运行时投放出的文件)一般会在程序中写好投放的路径由于不同系统版本的路径有所差别但临时文件的路径相对统一因此在程序中写好的路径一般是临时路径 查看浏览器历史记录、下载文件和cookie信息攻击者可能会下载一些后续攻击工具 查看用户Recent文件存储最近运行文件的快捷方式一般在windows中的路径为 C:\Document and Settings\Administrator(系统用户名)\Recent C:\Document and Settings\Default User\Recent Prefetch预读取文件夹存放系统已经访问过的文件的读取信息扩展名为pf可加快系统启动进程启动%systemroot%\prefetch amcache.hve:可查看应用程序执行路径、上次执行时间及sha1值。启动%systemroot%\appcompat\programs 时间点查找 forfiles 攻击者可能会对时间动手脚 webshell D盾、HwsKill、WebshellKill等工具对目录下的文件进行规则查询 Linux 敏感目录 /tmp、 /usr/bin、 /usr/sbin经常作为恶意软件下载目录及相关文件被替换的目录 ~/.ssh、/etc/ssh经常作为后门配置的路径 时间点查找 find可对某一时间段内增加的文件进行查找 stat对文件的创建时间、修改时间、访问时间进行排查 特殊文件 查找777权限的文件find /tmp -perm 777 webshell查找 初筛find /var/www/ -name “*.php” 工具findWebshell、Scan_Webshell.py扫描排查 对系统命令进行排查 ls、ps可能被攻击者替换ls -alt /bin 查看命令目录中的系统命令的修改时间进行排查 ls -alh /bin查看相关文件大小若明显偏大则文件很可能被替换 linux后门检测 工具:chkrootkit出现infected说明有后门、rkhunter 排查suid程序 find /-type f -perm -04000 -ls -uid 0 2 /dev/null 日志排查
Windows在运行对话框中输入eventvwr打开事件查看器窗口可查看windows相关日志。 系统日志%SystemRoot%\System32\Winevt\Logs\System.evtx 系统中的各个组件在运行中产生的各种事件 安全性日志:%SystemRoot%\System32\Winevt\Logs\security.evtx 记录各种安全相关的事件登录操作、对系统文件进行创建、删除、更改等操作。 应用程序日志%SystemRoot%\System32\Winevt\Logs\Application.evtx 日志常用事件id 4624登陆成功 4625登录失败 日志分析 日志筛选器进行分析 PowerShell分析 Get-WinEvent Get-WinEvent Security -InstanceId 4625:获取安全性日志下事件id为4625的所有日志信息。 使用工具 Linux
日志概述 linux系统日志一般在/var/log/下 /var/log/wtmp记录登录进入、退出、数据交换、关机和重启及last /var/log/cron记录与定时任务相关的日志信息 /var/log/message:记录系统启动后的信息和错误日志 /var/log/apache2/access.log记录apache的访问日志 /var/log/auth.log记录系统授权信息包括用户登录和使用的权限机制等 … 日志分析 … 其它日志 除了windows、linux系统日志分析外还有Web日志、中间件日志、数据库日志、FTP日志等进行分析。 IIS日志 %systemdrive%\inetpub\logs\logfiles %systemroot%\system32\logfiles\w3svc1 … Apache日志 /var/log/httpd/access.log /var/log/apache/access.log /var/log/apache2/access.log /var/log/httpd-access.log Nginx日志 默认在/usr/local/nginx/logs目录下access.log代表访问日志error.log代表错误日志。若没在默认路径下则可到nginx.conf配置文件中查找。 Tomcat日志 tomcat/log下 Vsftp日志 /var/log/messages 可通过编辑/etc/vsftp/vsftp.conf配置文件来启用单独的日志启用后可访问vsftp.log和xferlog。 Weblogic日志 有三种日志access log、 server log 、 domain log。 数据库日志 Oracleselect * from v$logfile查询日志命令默认在$ORACLE/rdbms/log目录下select * from v$sql可查询之前使用的sqlMysql默认路径/var/log/mysql/可查看日志是否开启show variables like general;开启日志set global general_log ON;Mssql一般无法查看需要登录到SQL Server Management Studio,在管理——SQL Server日志 中查看。内存分析
流量分析 ip.addrip对指定ip地址进行过滤 ip.srcip对指定的源ip地址进行过滤 直接输入http、https、smtp、arp等协议进行筛选 top.port端口号或tcp.port端口号对端口进行过滤 tcp contains stings 对数据包中的关键字进行检索。 威胁情报
三、工具
四、场景
1、勒索病毒网络安全应急响应
1、常见勒索病毒 WannaCry勒索病毒、GlobeImposter勒索病毒、Crysis/Dharma勒索病毒、GandCrab勒索病毒、Satan勒索病毒、Sacrab勒索病毒、Matrix勒索病毒、Stop勒索病毒、Paradise勒索病毒 2、常规处置方法 隔离被感染的服务器、主机 防止勒索病毒通过网络继续感染其它服务器、主机防止攻击者通过感染的服务器/主机继续操纵其它设备 措施 物理隔离断网、断电关闭服务器/主机的无线网络、蓝牙连接等禁用网卡并拔掉服务器/主机上的外部存储设备 访问控制对访问网络资源的权限进行严格控制和认证加策略和修改登录密码 排查业务系统 检查核心业务系统和备份系统确定感染范围。 确定勒索病毒种类进行溯源分析 从加密的磁盘中寻找勒索信息再通过勒索病毒处置工具查看是否可以解密 溯源分析查看服务器/主机上的日志和样本可疑文件工具进行日志和样本分析 恢复数据和业务 备份数据恢复业务 磁盘数据恢复 第三方方安全公司 后续防护建议 服务器终端防护 强密码、杀毒软件、打补丁、开启日志收集 网络防护与安全监测 内网安全域合理划分限制横向移动范围 应用系统防护及数据备份 加固、备份、预案 3、错误处置方法 不要再中毒服务器/主机上插U盘、硬盘等移动存储设备勒索病毒会对服务器/主机上的所有文件加密 不要用网上的解密工具反复读/写磁盘中的文件可能降低数据正确恢复的概率也可能破坏原始文件 4、工具 被攻击之后确定勒索病毒种类判断能否解密 奇安信勒索病毒搜索引擎lesuobingdu.qianxin.com 360安全卫士勒索病毒搜索引擎lesuobingdu.360.cn 5、勒索病毒应急思路 了解事态现状、系统架构、感染时间、确定感染面 对已中招服务器/主机下线隔离 未中招做好防护关闭端口加固、补丁等等 对服务器/主机进行检查 系统排查 账户排查 Windows 打开本地用户与组lusrmgr.msc 查看所有用户wmic useraccount get name,sid Linux cat /etc/passwd 查看所有用户信息 awk -F: {if($30)print KaTeX parse error: Expected EOF, got } at position 2: 1}̲ /etc/passwd …可查看能够登录的账户 进程排查 Windows tasklist或任务管理器 Linux 网络连接netstat -ano 任务计划 服务 启动项 文件排查 补丁排查 日志排查 系统日志 安全日志 安全日志是否有暴力破解记录异常ip地址登录记录溯源定位攻击的突破口 网络流量排查 清除加固 对服务器/主机进行抑制和恢复对恶意账号、进程、任务计划、启动项、服务等进行清理删除恶意样本、打补丁、强密码、安装杀毒软件、部署流量检测设备。 6、如何判断遭遇勒索病毒攻击 业务系统无法访问 文件后缀被篡改 勒索信展示 桌面上有新的文本文件 7、了解勒索病毒的加密时间 推断攻击者执行勒索程序的时间轴方便后续进行溯源。 Windows 通过文件修改日期初步判断(要综合判断因为攻击者可能伪造时间) Linux stat可查看Access访问、Modify内容修改、Change属性改变三个时间
2、挖矿木马网络安全应急响应
1、挖矿木马利用计算机的算力挖掘数字货币。 2、常见挖矿木马WannaMine、Mykings(隐匿者)、Bulehero、8220Miner、匿影、DDG、h2Miner、MinerGuard、Kworkerds、Watchdogs。 3、挖矿木马的传播方法 漏洞传播 弱密码暴力破解传播 僵尸网络 无文件攻击方法 网页挂马 软件供应链攻击 社交软件、邮箱 4、挖矿木马利用漏洞 弱密码 未授权访问 命令执行 … 5、常规处置方法 隔离被感染的服务器/主机 防止攻击者以当前服务器/主机为跳板对统一局域网内的其它机器进行漏洞扫描和利用禁用非业务端口、服务、配置ACL白名单非重要业务系统建议下线隔离再排查。 如何确认挖矿 进程排查 木马清除 阻断矿池地址连接 清除挖矿定时任务、启动项等 定位挖矿木马文件删除 挖矿木马防范 挖矿木马僵尸网络防范 避免使用弱密码 打补丁 服务器定期维护 网页/客户端挖矿木马防范 浏览网页时主页CPU、GPU使用率 避免访问高危网站 避免下载来路不明的软件 6、应急思路 判断挖矿木马 CPU使用率、系统卡顿、部分服务无法正常运行等现象 通过服务器性能监测设备查看服务器性能 挖矿木马会与矿池建立连接通过安全检测类设备告警判断 判断挖矿木马挖矿时间 查看木马文件创建时间 查看任务计划创建时间 查看矿池地址通过安全类检测设备 判断挖矿木马传播范围 挖矿木马会与矿池建立连接通过安全类监测设备监测 了解网络部署环境 网络架构、主机数据、系统类型、相关安全设备 系统排查 Windows 用户排查攻击者为了在系统中实现持久化驻留 net user lusrmgr.msc可查看隐藏用户 查注册表攻击者可能会克隆正常用户名来隐藏自己 网络连接 netstat -ano |find “445” 进程排查 tasklist 任务管理器 工具 任务计划 打开计算机管理——系统工具——任务计划程序——任务计划程序库可查看任务计划的名称、状态、触发器等信息 命令行输入schtasks可获取任务计划信息要求是本地Administrator组的成员 在PowerShell下输入get-scheduledtask 可查看当前系统中所有任务计划信息包括路径、名称、状态等详细信息。 服务排查 services.msc Linux 用户排查 cat /etc/passwd:查看系统中所有用户信息 lastlog查看系统中用户最后登录信息 lastb查看用户错误登录列表 last查看用户最近登录信息 who查看当前用户登录情况 awk -F‘length($2)0 {print $1}’ /etc/shadow 查看是否存在空口令账户 进程排查 ps aux netstat -antp可查看进程、端口、PID ls -alh /proc/PID查看对应可执行程序 top lsof -p PID查看对应PID对应的可执行程序 lsof -i:port查看指定端口对应的程序 ll /proc/PID可查看进程详细信息 任务计划排查 crontab -l:查看任务计划 日志排查 Windows eventvwr打开事件查看器可看日志 位置%SystemRoot%\System32\Winevt\Logs 应用程序日志Application.evtx 安全性日志Security.evtx 系统日志System.evtx 常用检测事件id 4728把用户添加进安全全局组如Administrator组 4797试图查询账户是否存在空密码 4624登录成功日志 4625登录失败日志 4672表示特权用户登陆成功会产生的日志如Administrator 4648:其它登录情况 Linux 任务计划日志 crontab -l查看当前任务计划有哪些后门 ls /etc/cron*: cat /var/log/cron任务计划日志 ls /var/spool/mail cat /var/spool/mail/root: 自启动日志
3、Webshell网络安全应急响应
4、网页篡改网络安全应急响应
5、DDos攻击网络安全应急响应
6、数据泄露网络安全应急响应
7、流量劫持网络安全应急响应
