1、攻击类
POC、钓鱼攻击、肉鸡、EXP、嗅探器(Sniffer)、僵尸网络、Pyload、恶意软件、APT攻击、shellcode、后门、网页木马、0day、1day、弱口令、远程命令执行漏洞、提权、Nday漏洞、免杀、横向移动、社工、C2、跳板
2、防护类
CA证书、沙箱、SOAR、SSL证书、网络靶场、威胁情报、防火墙、黑名单、IOC、IDS、白名单、TTP、IPS、规则库、应急响应、反病毒引擎、EDR、ATT&CK、堡垒机、NDR、网络空间测绘、蜜罐、XDR、多因子认证
3、常见端口
21———— ftp————匿名/弱口令
80————web————常见web漏洞,后台弱口令
443————OpenssL————心脏滴血
873————rsync————匿名/弱口令
2601/2604————zebra路由————默认口令
3690————svn————svn泄露或未授权访问
6379————redis————未授权访问,ssh无密码链接,利用redis进行反弹shell
7001————weblogic————默认弱口令
8061/8161————ActiveMQ————弱口令,远程命令执行
8080————tomact————弱口令
8089————jboss————未授权访问,弱口令
8649————ganglia————信息泄露
8888————宝塔————未授权等多个漏洞
11211————memcache————未授权访问
27017————mongodb————未授权访问
应急工具:windows/linux
自启动检测:Autoruns
进程分析:Process Explorer / Process hacker /tasklist
端口网络:TCPView / Currports / netstat
文件行为分析:Process Monitor
综合检测:PCHunter / HRsword /PowerTool
日志分析:Event log Explorer / log parser
使用Webshell查杀工具 Windows下D盾等,Linux下河马等
河马webshell查杀:http://www.shellpub.com深信服Webshell网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.html
windows应急排查信息收集
1、侦察
2、漏洞利用
3、后门木马
4、权限提升
5、凭据窃取
6、横行移动
7、数据渗出
windows系统基本信息
systeminfo:执行systeminfo命令可以查询主机名、os版本、启动时间、按爪个补丁编号等
netstat -anob 可以查询主机网络链接情况
netstat -anbo | findstr LISTENING 查询监听端口/服务
netstat -anbo | findstr ESTABLISHED 查询建立连接情况
用户账户
net user 查询用户账户
隐藏账户查询需要在注册表中进行查询。
计划任务
查看计划任务清单
schtasks /query /v /fo
windows常见信息收集脚本
win-check.bat:运行时需要以管理员权限进行,收集信息包括:系统基本信息、网卡、端口、网络连接、进程、共享位置、用户账户、启动项、IE记录、程序记录、防火墙信息、计划任务、特殊后门
Linux应急响应
linux
rootkit检查工具
rkhunter / chkrootkit
系统相关命令:
ps /pstree / pmap / top / kill
ls /file /strings / readelf / rpm
lsof / netstat / ss(socket statistics)
chkconfig / systemctl / crontab
静态编译工具
busybox (linux瑞士军刀)
strace (跟踪系统调用)
主机基本信息收集
主机名、系统时间、IP地址、系统版本
hostname、date、ifconfig、uname -a 、cat /etc/system-release
用户及用户组
cat /etc/passwd
超级用户
more /etc/passwd | awk -F: ’{if($3==0) print $1}’
克隆账号
awk -F: ’{a[$3]==}END{for(i in a )if(a[i]>1)print i} /etc/passwd’
系统可登录用户
cat /etc/passwd | grep -E “/bin/bash$” | awk -F: ’{print $1}’
非系统本身自带用户
more /etc/passwd | awk -F: ’{if($3>=1000) print $1}’
用户组
/etc/shadow
空口零用户
awk -F: ‘($2==””) {print $1}’ /etc/shadow
/etc/group
特权用户
cat /etc/group | awk -F: ‘{if ($1≠”root”&&$3==0) print $1}’
相同GID用户组
cat /etc/group | awk -F: ‘{print $3}’ | uniq -d
相同用户组名
cat /etc/group | awk -f: ‘{print $1}’ | uniq -d
网络连接情况
netstat -antup 查看当前开放端口与网络连接
a: 显示所有套接字,包括监听和不监听
n: 以数字形式显示地址信息,既点分10进制格式
grep 80 /etc/service 辅助查看开放端口情况
文件记录网络服务名对应使用的端口号以及协议、
lsof -i 显示进程和端口对应关系
lsof -Pnl -i tcp 使用tcp通信的进程文件
lsof -Pnl -i udp 使用udp通信的进程文件
lsof -i :80 占用80端口的文件
进程与服务
进程与查看 ps -aux
进程数 pstree -p
资源占用排序 top
查看进程所打开的文件
losf -o PID
ls -al proc/PID
隐藏进程查看
ps -ef | awk ‘{print}’ | sort -n | uniq>1
ls /proc | sort -n | uniq>2
隐藏进程查看
ps
top
diff 1 2
系统日志:
utmp日志记录所有处于登录状态的用户
w命令 可显示用户人数、时间、cpu、在线时间等
wtmp日志记录所有登录失败的记录
last 往回搜索从文件第一次创建以用户登录的记录
last root root用户的记录
btmp日志记录用户登录和退出事件
lastb
last -f /var/log/btmp
lastlog日志记录每个用户的最近一次登录事件
lastlog
lastlog -u root 查看root用户最近一次登录
lastlog -t 7 查询七天内的记录
messages 日志记录有运行信息和认证信息
排查文件传输情况:more /var/log/messages | grep “ZMODEM:.*BPS”
排查DNS使用情况:more /var/log/messages* | grep ”using nameserver”
排查su认证信息:more /var/log/messages* | grep ”su:”
secure日志记录ssh登录日志
排查用户成功登录情况:more /var/log/secure* | grep “Accepted password”
排查用户失败登录情况:more /var/log/secure* | grep “Failed password”
排查新增用户:more /var/log/secure* | grep “new user”
排查新增用户组:more /var/log/secure* | grep “new group”
排查su认证相关:more /var/log/secure* | grep “authentication failure”
系统日志—cron文件
cron日志记录定时任务执行信息
排查定时下载:more /var/log/cron* | grep "wget|curl”
排查定时执行脚本:more /var/log/cron* | grep -E “.py$|.sh$|.pl$”
文件系统
ls 目录查看
根据事件排序文件:ls -alt /tmp/ | head =10
根据确定时间去匹配:ls -alt /bin/ /usr/sbin/ /sbin/ | grep “jan 15”
suid是一种特殊权限,设置了suid的程序文件,在用户执行该程序时,用户的权限时该程序文件属主的权限
输出所有设置了SUID的文件:find / -perm -004000 -type f
设置SUID:chmod u+s filename
去掉SUID:chmod u-s filename
文件完整性检查
rpm -vf package
新增文件查找:通过查找事件发生前一段事件修改或生成的文件,快速定位
find / -mtime = | grep -E “.(py|sh|per|pl|php|asp|jsp)$”
stat 文件时间
stat /etc/passwd
secure在一些较新的linux已经被rsyslog替换,下面命令中的/var/log/secure可以尝试换成/var/log/auth.log
1、定位有多少IP在爆破主机的root帐号:
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
定位有哪些IP在爆破:
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
爆破用户名字典是什么?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1n";}'|uniq -c|sort -nr
2、登录成功的IP有哪些:
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
或者last命令,它会读取位于/var/log/wtmp的文件,并把该文件记录的登录系统的用户名单,全部显示出来。
登录成功的日期、用户名、IP:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
3、增加一个用户kali日志:
Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001
Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali
, shell=/bin/bash
Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali
#grep "useradd" /var/log/secure
4、删除用户kali日志:
Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'
grep "userdel" /var/log/secure
5、su切换用户:
Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)
sudo授权执行:
sudo -l
Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now
后门维持-计划任务
用户定义的crontab文件都被保存在/var/spool/cron目录中
cat /etc/crontab 
原文始发于微信公众号(威胁情报捕获与分析):安全运营技术
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论