声明
该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
应急响应目的
-
帮助用户正确应对安全事件,降低安全事件带来的损失和影响,并将业务以及网络恢复到正常状态;
-
通过对日志、流量、文件、情报等维度的关联分析与深度挖掘,定位各类安全事件发生的原因;
-
协助用户进行恶意文件清除、漏洞修复、安全加固,避免同类安全事件再次发生;
-
对相关日志、流量、文件等数据进行取证溯源,配合执法机构进行事件取证。
基本步骤
收集信息:收集系统业务方反馈的信息,各类安全设备/系统的安全告警信息
判断类型:结合已有信息,判断是否为安全事件类型(勒索、挖矿等),根据安全事件类型来调用相关资源和工具启动调查。
深入分析:通过日志分析、进程分析、启动项分析、样本分析的初步分析,复原攻击路径、攻击手法,找出确定的样本和网络外联信息,便于下一步的清理处置。
清理处置:进行入侵的深入分析、固定证据后。清理相关进程、文件;阻断网络连接;恢复启动项、业务服务;对软件系统进行升级或补丁修复。
产出报告:整理并输出完整的安全事件报告。
linux常用命令
借鉴了大佬的文章
https://wiki.wgpsec.org/knowledge/hw/linux-emergency-response.html查看基础用户信息文件(/etc/passwd,/etc/shadow,/etc/group)
1、查询特权用户特权用户(uid 为0)awk -F: '$3==0{print $1}' /etc/passwd2、查询可以远程登录的帐号信息awk '/$1|$6/{print $1}' /etc/shadow3、除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)"4、禁用或删除多余及可疑的帐号usermod -L user #禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头userdel -r user #将删除user用户,并且将/home目录下的user目录一并删除
查看历史命令 #
cat ~/bash_history >> history.txt检查异常进程 #
ps aux | grep pid检查服务
chkconfig --list #查看服务自启动状态,可以看到所有的RPM包安装的服务检查系统日志
| 日志文件 | 说明 |
|---|---|
| /var/log/cron | 记录系统定时任务相关的日志 |
| /var/log/message | 记录Linux操作系统常见的系统和服务错误信息(首要检查对象) |
| /var/log/btmp | 记录错误登录(登陆失败)日志;使用lastb命令查看 |
| /var/log/lastlog | 记录系统中所有用户最后一次成功登录时间,使用lastlog命令查看 |
| /var/log/wtmp | 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件;用last命令来查看 |
| /var/log/utmp | 只记录当前登录用户的信息;使用w,who,users等命令来查询 |
| /var/log/secure | 记录验证和授权方面的信息,如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码 |
Windows常用命令
检查系统账号
#查询当前登录系统的会话query user#把用户踢出会话logoff ID
查看网络连接
netstat -ano#打印路由表route print
检查进程
#列出所有进程tasklist#强制停止某进程taskkill /T /F /PID
检查启动项
#查看系统开机时间net statistics workstation#查看系统计划任务schtasks /query /fo LIST /v#查看程序启动信息wmic startup get command,caption#查看主机服务信息wmic service list brief
排查Webshell
-
Windows:D盾
-
Linux:河马
原文始发于微信公众号(Devil安全):【逃离计划】安全事件应急响应处置技术
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论