应急响应所有流程

重点：一切考虑业务稳定

先启用运维应急预案，保证业务稳定运行 系统稳定（网络、系统文件、启动项、库、内存） 经验是不可替代的 以事件关联思维思考安全事故 所有操作必须有记录和时间。

1. 部署安全系统

• 所有主机时钟同步
• 服务器监控系统
• 系统日志系统
• NIPS、WAF、HIDS
• 蜜罐
• 主机加固
• 数据库审计
• NTA流量可视化
• 代码密钥泄露扫描
• 堡垒机
• 漏洞预警平台
• SIEM

2. 收到入侵告警

• 安骑士
• 蜜罐
• NIDS
• DNS日志
• 外联域名
• 数据库审计系统
• 大量拖库日志
• 服务器崩溃或重启
• 客服接到黑客信息
• 服务器响应速度太慢
• 非工作时间链接服务器
• 异常网络流量，比如ping或扫描操作；
• 一批服务器被远程外联
• 文件完整性报警
• 客户数据流失
• 服务器发现文件被加密

3. 信息收集

• 对业务有什么影响
• 被入侵项目名称
• 大体架构
• 报警信息
• 受害主机数量
• 黑客域名、IP
• 安全系统的日志
• 木马样本
• 服务器是否能出网
• 是否统一管理入口（堡垒机）
• 对外开放端口
• 黑客所有行为记录
• 操作系统版本
• 补丁情况

4. 入侵分析

• 情报威胁平台查看URL、病毒文件、IP、域名
• 定位黑客肉机，或第一入侵点
• 服务器外联哪个地址，黑客IP
• 分析入侵点，哪台机器最先被渗透
• 通过蜜罐看攻击源
• 查看所有安全设备的日志，定位攻击面
• 是否是办公网机器执行的操作
• 通过服务器所属组，是否云账号泄露
• 病毒分析
• 所有可能受攻击机器
• 预加载库配置文件是否被修改
• 动态链接库配置文件是否被修改
• 查看系统启动项
• 使用公司知识库参考以往类似案例

5. 安全事故类型

• 被远控
• 木马植入
• 留后门
• CPU飙高
• 异常流量
• rootkit
• 挖矿
• 勒索病毒
• sql拖库
• web渗透
• 留黑页，网页挂马
• webshell
• 云账号泄露
• 监守自盗
• 爆破
• 账密泄露
• 办公网被入侵
• 网络攻击
• 劫持
• 查看所有应用的爆破日志和登录日志，比如ssh和mysql，dns；
• 杀死恶意进程
• 查看动态链接库后门

6. 快速应急方案

• 把黑客IP加入黑名单，直接给DD死，把应用切换走
• 禁止主动出网，阻断黑客远控行为
• 查对外的端口，如果有高危漏洞应用就加白名单
• 删除木马文件，杀死进程，如果rootkit就服务器下线
• 找到还能出网机器重点做安全加固
• 深度安全检测，不重要服务器直接下线
• 不允许直接访问服务器，防止正向shell，用代理即可
• 把黑客IP加入黑名单
• 查对外的端口，如果有高危漏洞应用就加白名单
• 禁止主动出网，阻断黑客远控行为
• 机器直接下线
• 看公开漏洞就行了，redis、mongodb、MySQL等
• 不允许直接访问服务器，防止正向shell，用代理即可
• 把黑客IP加入黑名单
• 在加一层云waf，只启用owasp防御功能
• 开发修改接口
• 给接口添加验证码做人机识别
• ip每分钟限制访问10次同一接口
• 通过ngingx日志找到有漏洞的接口
• 查服务器上是否有木马和webshell
• 1. 找到日志，看哪台机器产生的，把关键字找到
• 2. 去到文件里，确认真的被注入webshell，有很多是黑客的扫描日志
• 3. 立刻删除，去看从哪个接口进来的，根据webshell内容作为关键字全盘搜索，尤其是Java 日志
• 4. 找所有nginx 日志，找到这个请求接口，用ack命令，比grep 还好用
• 5. 确定具体的接口，让开发去修改过滤
• 立即修改云账号，修改密钥，云平台远程桌面做一次远程连接，第二次就需要手机号验证了，敏感操作和登录启用手机验证码，不要在电脑上用验证码。
• 把黑客IP加入黑名单
• 办公电脑断网，重做系统
• 查堡垒机所有日志
• 查服务器后门
• 所有服务器深度安全检测
• 禁止主动出网，阻断黑客远控行为
• 更换全部密码和密钥和token
• ip每分钟限制访问10次同一接口
• 挂一个云waf，只启用owasp防御功能
• 给接口添加验证码做人机识别
• 加个云锁，做频率限制，iptables也行
• 做白名单
• 改个复杂密码或改成密钥
• 把黑客IP加入黑名单
• 禁止主动出网，阻断黑客远控行为
• 不允许直接访问服务器，防止正向shell，用代理即可
• 修改密码或密钥
• 深度安全检测
• 找到代码泄露人和泄露途径，全部改一遍
• 把黑客IP加入黑名单
• 把办公网IP全部不是白名单，只用VPN为白名单
• 不用的机器或下班后，机器全部关机，重做系统
• 密码全部修改或添加二次验证，手机作为验证码
• 给IP做限速
• 加CDN，比如cloudflare
• 加https
• 修复百度快照劫持服务器的漏洞
• HTTPDNS
• 查看前端js代码，oss，清cdn缓存，前端代码服务器；

1. 定义后查看动态链接库的方式(动态链接库在/usr/lib64)：echo $PATH echo $LD_PRELOAD cat /etc/ld.so.preload ls /etc/ld.so.conf.d / cat /etc/ld.so.conf 用starce命令检查下系统命令：strace -f -e trace=file /bin/ls

2. 中动态链接库木马的现象：使用普通命令得到的结果，和使用busybox的结果不同；有些命令用stat查看，时间被修改了；ldd elf文件名（如果正常系统没这个库就是木马了）

3. 修复方法：./busybox lsattr -ia /etc/ld.so.preload ./busybox chattr -ia /etc/ld.so.preload ./busybox rm -rf/etc/ld.so.preload /lib/cub3.so

7. 应急收尾工作

• 木马及后门清除
• 弱密码扫描
• 清除预加载库
• 溯源
• 安全事故报告
• 打补丁
• 渗透测试
• 通过NIDS找到异常流量主机，定位入侵点
• 安全加固
• 清除报警，取消噪音
• 看堡垒机日志，看是不是自己人的操作
• 通过日志找web漏洞渗透接口
• 分析黑客渗透思维，以他的思维思考一边
• 查看内网是否被渗透
• 最后前端要做加签，和js 加密和请求参数加密，后端验签就够了

8. 永久解决方案

• 不影响其他项目
• 不影响其他网段
• 应用迁移
• 打补丁
• 机房ip不允许直接对外开放，可加一层代理
• 内外网防火墙策略和安装安骑士
• 找到重要机器，重点做防御

9. 给出安全建议

• 最小化原则
• 是否统一管理入口（堡垒机）
• 渗透测试
• 非工作时间禁止连接办公电脑和服务器
• 有必须上外网机器，可以用代理或者临时关闭防火墙就行
• 所有机器可以快速迁移
• 持续跟踪检测类似报警
• 日志统一放服务器上，防止黑客清理痕迹
• 安全意识培训

 

原文始发于微信公众号（渗透安全团队）：应急响应所有流程 | 干货