应急响应所有流程 | 干货

admin 2024年4月23日03:04:24评论8 views字数 2474阅读8分14秒阅读模式

应急响应所有流程

应急响应所有流程 | 干货

重点:一切考虑业务稳定

先启用运维应急预案,保证业务稳定运行 系统稳定(网络、系统文件、启动项、库、内存) 经验是不可替代的 以事件关联思维思考安全事故 所有操作必须有记录和时间。

1. 部署安全系统

  • 所有主机时钟同步
  • 服务器监控系统
  • 系统日志系统
  • NIPS、WAF、HIDS
  • 蜜罐
  • 主机加固
  • 数据库审计
  • NTA流量可视化
  • 代码密钥泄露扫描
  • 堡垒机
  • 漏洞预警平台
  • SIEM

2. 收到入侵告警

  • 安骑士
  • 蜜罐
  • NIDS
  • DNS日志
  • 外联域名
  • 数据库审计系统
  • 大量拖库日志
  • 服务器崩溃或重启
  • 客服接到黑客信息
  • 服务器响应速度太慢
  • 非工作时间链接服务器
  • 异常网络流量,比如ping或扫描操作;
  • 一批服务器被远程外联
  • 文件完整性报警
  • 客户数据流失
  • 服务器发现文件被加密

3. 信息收集

  • 对业务有什么影响
  • 被入侵项目名称
  • 大体架构
  • 报警信息
  • 受害主机数量
  • 黑客域名、IP
  • 安全系统的日志
  • 木马样本
  • 服务器是否能出网
  • 是否统一管理入口(堡垒机)
  • 对外开放端口
  • 黑客所有行为记录
  • 操作系统版本
  • 补丁情况

4. 入侵分析

  • 情报威胁平台查看URL、病毒文件、IP、域名
  • 定位黑客肉机,或第一入侵点
  • 服务器外联哪个地址,黑客IP
  • 分析入侵点,哪台机器最先被渗透
  • 通过蜜罐看攻击源
  • 查看所有安全设备的日志,定位攻击面
  • 是否是办公网机器执行的操作
  • 通过服务器所属组,是否云账号泄露
  • 病毒分析
  • 所有可能受攻击机器
  • 预加载库配置文件是否被修改
  • 动态链接库配置文件是否被修改
  • 查看系统启动项
  • 使用公司知识库参考以往类似案例

5. 安全事故类型

  • 被远控
  • 木马植入
  • 留后门
  • CPU飙高
  • 异常流量
  • rootkit
  • 挖矿
  • 勒索病毒
  • sql拖库
  • web渗透
  • 留黑页,网页挂马
  • webshell
  • 云账号泄露
  • 监守自盗
  • 爆破
  • 账密泄露
  • 办公网被入侵
  • 网络攻击
  • 劫持
  • 查看所有应用的爆破日志和登录日志,比如ssh和mysql,dns;
  • 杀死恶意进程
  • 查看动态链接库后门

6. 快速应急方案

  • 把黑客IP加入黑名单,直接给DD死,把应用切换走
  • 禁止主动出网,阻断黑客远控行为
  • 查对外的端口,如果有高危漏洞应用就加白名单
  • 删除木马文件,杀死进程,如果rootkit就服务器下线
  • 找到还能出网机器重点做安全加固
  • 深度安全检测,不重要服务器直接下线
  • 不允许直接访问服务器,防止正向shell,用代理即可
  • 把黑客IP加入黑名单
  • 查对外的端口,如果有高危漏洞应用就加白名单
  • 禁止主动出网,阻断黑客远控行为
  • 机器直接下线
  • 看公开漏洞就行了,redis、mongodb、MySQL等
  • 不允许直接访问服务器,防止正向shell,用代理即可
  • 把黑客IP加入黑名单
  • 在加一层云waf,只启用owasp防御功能
  • 开发修改接口
  • 给接口添加验证码做人机识别
  • ip每分钟限制访问10次同一接口
  • 通过ngingx日志找到有漏洞的接口
  • 查服务器上是否有木马和webshell
  • 1. 找到日志,看哪台机器产生的,把关键字找到
  • 2. 去到文件里,确认真的被注入webshell,有很多是黑客的扫描日志
  • 3. 立刻删除,去看从哪个接口进来的,根据webshell内容作为关键字全盘搜索,尤其是Java 日志
  • 4. 找所有nginx 日志,找到这个请求接口,用ack命令,比grep 还好用
  • 5. 确定具体的接口,让开发去修改过滤
  • 立即修改云账号,修改密钥,云平台远程桌面做一次远程连接,第二次就需要手机号验证了,敏感操作和登录启用手机验证码,不要在电脑上用验证码。
  • 把黑客IP加入黑名单
  • 办公电脑断网,重做系统
  • 查堡垒机所有日志
  • 查服务器后门
  • 所有服务器深度安全检测
  • 禁止主动出网,阻断黑客远控行为
  • 更换全部密码和密钥和token
  • ip每分钟限制访问10次同一接口
  • 挂一个云waf,只启用owasp防御功能
  • 给接口添加验证码做人机识别
  • 加个云锁,做频率限制,iptables也行
  • 做白名单
  • 改个复杂密码或改成密钥
  • 把黑客IP加入黑名单
  • 禁止主动出网,阻断黑客远控行为
  • 不允许直接访问服务器,防止正向shell,用代理即可
  • 修改密码或密钥
  • 深度安全检测
  • 找到代码泄露人和泄露途径,全部改一遍
  • 把黑客IP加入黑名单
  • 把办公网IP全部不是白名单,只用VPN为白名单
  • 不用的机器或下班后,机器全部关机,重做系统
  • 密码全部修改或添加二次验证,手机作为验证码
  • 给IP做限速
  • 加CDN,比如cloudflare
  • 加https
  • 修复百度快照劫持服务器的漏洞
  • HTTPDNS
  • 查看前端js代码,oss,清cdn缓存,前端代码服务器;
  1. 定义后查看动态链接库的方式(动态链接库在/usr/lib64):echo $PATH echo $LD_PRELOAD cat /etc/ld.so.preload ls /etc/ld.so.conf.d / cat /etc/ld.so.conf 用starce命令检查下系统命令:strace -f -e trace=file /bin/ls

  2. 中动态链接库木马的现象:使用普通命令得到的结果,和使用busybox的结果不同;有些命令用stat查看,时间被修改了;ldd elf文件名(如果正常系统没这个库就是木马了)
  3. 修复方法:./busybox lsattr -ia /etc/ld.so.preload ./busybox chattr -ia /etc/ld.so.preload ./busybox rm -rf/etc/ld.so.preload /lib/cub3.so

7. 应急收尾工作

  • 木马及后门清除
  • 弱密码扫描
  • 清除预加载库
  • 溯源
  • 安全事故报告
  • 打补丁
  • 渗透测试
  • 通过NIDS找到异常流量主机,定位入侵点
  • 安全加固
  • 清除报警,取消噪音
  • 看堡垒机日志,看是不是自己人的操作
  • 通过日志找web漏洞渗透接口
  • 分析黑客渗透思维,以他的思维思考一边
  • 查看内网是否被渗透
  • 最后前端要做加签,和js 加密和请求参数加密,后端验签就够了

8. 永久解决方案

  • 不影响其他项目
  • 不影响其他网段
  • 应用迁移
  • 打补丁
  • 机房ip不允许直接对外开放,可加一层代理
  • 内外网防火墙策略和安装安骑士
  • 找到重要机器,重点做防御

9. 给出安全建议

  • 最小化原则
  • 是否统一管理入口(堡垒机)
  • 渗透测试
  • 非工作时间禁止连接办公电脑和服务器
  • 有必须上外网机器,可以用代理或者临时关闭防火墙就行
  • 所有机器可以快速迁移
  • 持续跟踪检测类似报警
  • 日志统一放服务器上,防止黑客清理痕迹
  • 安全意识培训
 

原文始发于微信公众号(渗透安全团队):应急响应所有流程 | 干货

 

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月23日03:04:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急响应所有流程 | 干货https://cn-sec.com/archives/2681865.html

发表评论

匿名网友 填写信息