Sean's Blog
0%

应急响应总结

发表于 更新于 分类于

应急响应总结

入侵排查

Linux

查看系统信息:lscpu、uname -a、

  1. 账户安全(是否有攻击者新建的账户、修改已有用户的密码

    1. /etc/passwd 重点关注组ID为0的用户(root权限
    2. lastlog

  2. 历史命令(查看攻击者进行的操作,history

  3. 异常端口(可能与攻击者存在连接,netstat

  4. 异常进程(木马程序,top

  5. 开机启动项(权限维持,

    1. /etc/init.d/rc.local
    2. /etc/rc.local

  6. 定时任务(权限维持,

    1. crontab -l
    2. /etc/cron*

  7. 服务

  8. 异常文件(webshell、配置文件

  9. 系统日志:/var/log

  10. web日志:apache、ngnix

Windows

查看系统信息:msinfo32、systeminfo

  1. 隐藏用户

    1. 计算机管理→本地用户和组→用户
    2. 注册表 HKEY_LOCAL_MACHINE

  2. 异常端口

  3. 异常进程

  4. 开机启动项

    1. msconfig

    2. 注册表

      1
      2
      3
      4
      5
      HKEY_CLASSES_ROOT(HKCR)
      HKEY_CURRENT_USER(HKLM)
      HKEY_LOCAL_MACHINE(HKLM)
      HKEY_USERS(HKU)
      HKEY_CURRENT_CONFIG(HCU)

  5. 定时任务

    1. 计算机管理→系统工具→任务计划程序
    2. powershell:Get-ScheduledTask
    3. cmd:schtasks

  6. 服务

  7. 日志

安全设备

防火墙

WAF:Web应用防火墙

IDS:入侵检测,位于网络内部,能检测内部终端+外部

IPS:入侵防御,位于防火墙与网络设备之间(网络边界),只能抵御外部攻击

堡垒机

判断告警是否为真实攻击

  1. IP
    1. 内网IP→分析数据包→是否为内部测试或者业务逻辑导致→是否为跳板机
    2. 外网→是否为授权方

检测webshell

  1. 静态检测:代码审计、特征匹配
  2. 动态检测:webshell运行时的动态特征、编译执行过程
  3. 日志记录:web/系统
  4. 流量监测:webshell流量特征匹配
  5. WAF