【技术干货】Windows+Linux下的应急响应之必备常识

网安教育

培养网络安全人才

技术交流、学习咨询

应急响应”对应的英文是“Incident Response”或“Emergency Response”等，通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措.

网络安全应急响应：针对已经发生的或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全.

应急响应”对应的英文是“Incident Response”或“Emergency Response”等，通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措.

网络安全应急响应：针对已经发生的或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全.

保护阶段：断网，备份重要文件（防止攻击者，这些期间删除文件重要文件.）

分析阶段：分析攻击行为，找出相应的漏洞.

复现阶段：复现攻击者攻击的过程，有利于了解当前环境的安全问题和安全检测.

修复阶段：对相应的漏洞提出修复.

建议阶段：对漏洞和安全问题提出合理解决方案.

目的：分析出攻击时间，攻击操作，攻击后果，安全修复等并给出合理解决方案.

操作系统（windows 和 linux）应急响应

（1）常见危害：暴力破解，漏洞利用，流量攻击，木马控制(Webshell，PC木马等)，病毒感染(挖矿，蠕 虫，勒索等)

（2）常见分析：计算机账户，端口，进程，网络，启动，服务，任务，文件等安全问题.

常见日志类别及存储：

（1）Windows系统：（2）Linux系统：

工具下载  

链接：https://pan.baidu.com/s/1N67KmETtTmMOSrG-l0-iDA

提取码：tian

系统日志分析 ：

安装 LogFusion 工具.（Windows系统日志）

打开日志：点击 Open Other  -->>  Open Event Log  -->> 应用程序 || 系统

（1）应用程序事件日志.

（2）系统事件日志.

Linux系统日志.

1/var/log/                    //日志的位置.

（1）统计了下日志，确认服务器遭受多少次暴力破解.

1grep -o "Failed password" /var/log/secure|uniq -c

（2）输出登录爆破的第一行和最后一行，确认爆破时间范围.

1grep "Failed password" /var/log/secure|head -1

1grep "Failed password" /var/log/secure|tail -1

（3）进一步定位有哪些 IP 在爆破.

1grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr

（4）爆破用户名字典都有哪些.

1grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1n";}'|uniq -c|sort -nr

（5）登录成功的日期、用户名、IP.

1grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

1grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

查看进程（PCHunter）

Windows查杀木马：

大家可以下载一些安全软件进行扫描和查杀.

火绒安全软件：火绒安全

电脑管家：一键杀毒_盗号保护_垃圾清理_软件管理-腾讯电脑管家官网

Linux主机排查：

1cd GScan-master                //下载工具，然后切换工具目录.

1python GScan.py --sug --pro                    //检测木马

Linux查杀木马.（Clamav）

1apt update                 

1apt install clamav-daemon -y         //下载clamav杀毒.

1freshclam            //更新病毒库

1clamscan -r -i /root -l /root/clamav.log        //-r扫描目录，-i只显示被感染的文件，-l是保存的日志文件.

勒索病毒分析：深信服EDR

https://edr.sangfor.com.cn/#/information/ransom_search

勒索软件在线下载的解密工具：免费勒索软件解密工具 | 解锁您的文件 | Avast

https://www.avast.com/zh-cn/ransomware-decryption-tools

收集的勒索软件解密工具：

一般能不能破解勒索病毒的解密，就取决于勒索病毒的强度！（免费版.）

如果破解不了，可能还是花钱找专业的人来破解！（付费版.）

END

版权声明：本文为CSDN博主「半个西瓜.」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。

原文链接：https://blog.csdn.net/weixin_54977781/article/details/125078169

版权声明：著作权归作者所有。如有侵权请联系删除

网安训练营

网络安全基础班、实战班线上全面开启，学网络安全技术、升职加薪……有兴趣的可以加入网安大家庭，一起学习、一起成长，考证书求职加分、升级加薪，有兴趣的可以咨询客服小姐姐哦！

加QQ（1005989737）找小姐姐私聊哦

精选文章

环境搭建

Python

学员专辑

信息收集

CNVD

安全求职

渗透实战

CVE

高薪揭秘

渗透测试工具

网络安全行业

神秘大礼包

基础教程

我们贴心备至

用户答疑

 QQ在线客服

加入社群

QQ+微信等着你

我就知道你“在看”