应急响应常态化？

 免责声明

请您仔细阅读以下声明：
您在AtomsTeam查看信息以及使用AtomsTeam服务，表明您对以下内容的接受：
AtomsTeam提供程序(方法)可能带有攻击性，仅供安全研究与实验性教学之用。
用户将其信息做其他用途，由用户承担全部法律及连带责任，AtomsTeam不承担任何法律及连带责任。
与此同时，希望你能遵守如下的规范，因为这能帮助你走的更远：
1.不在没有直接或间接授权的情况下，对公网的任何设施进行安全检测。
2.在测试的过程中，不做任何可能导致业务遇到干扰的动作。
3.任何的测试中，不查看与下载任何敏感的数据。
4.发现漏洞后，第一时间通过企业SRC进行报告。
5.不在目标站点使用后门类工具，如需必要的测试，请获取目标网站官方授权，测试可通过替代的方案(如webshell替换为phpinfo页面等)。

前言

在生产环境中，为了保证企业生产服务器的系统安全，和数据安全，日常安全巡检和定时巡检是不可缺少的一部分，但是巡检项目需配合业务的实际性进行开展。

以下是个人在安全巡检中用到的用到的命令，可对这些巡检项目的结果排除或降低被入侵的风险，使得应急响动作常态化，及时发现被入侵的风险，进行应急响应，维护企业网络安全。

在日常安全巡检中，如无重大变化，理应每次巡检结果大致相同，如出现不同结果，理应仔细排查，以下是日常比较关注的网络安全巡检点

关于linux的常规安全巡检项目

1.cpu的使用率

top #关注cpu水位，保证服务器的正常运转，比较健康的水位理应在80%以下

2.内存水位

free -m  #关注cpu水位，保证服务器的正常运转，比较健康的水位理应在80%以下

3.查看近期登录成功ip

 less /var/log/secure |grep 'Accepted'  #依据登录ip，根据网络情况做判断

4.查看etc/passwd是否有非授权用户存在.

cat /etc/passwd |grep -v nologin #排除nologin不能登录账户，对可登录账户做确认

5.启动项检查是否有异常启动项

cat /etc/rc.local #是否存在异常，第一次巡检时应做仔细确认，后续巡检过程中应保持一致，如存在必要启动项，巡检时应确认内容正常

6.计划任务检查

cat /etc/crontab#是否存在异常，第一次巡检时应做仔细确认，后续巡检过程中应保持一致，如存在必要启动项，巡检时应确认内容正常

7.检查/tmp文件下是否有异常文件

ls -la /tmp #查看是否存在隐藏文件夹，隐藏文件重点排查以sh、elf结尾的，如觉得异常可将样本上传至https://www.virustotal.com/ 进行分析

8.查看历史命令是否有异常

cat /root/.bash_history

9.查看所有用户最后一次登录时间

lastlog

10.查看未登录成功账户信息

 last -f /var/log/btmp  #短时间内为出现大量登录失败则为正常

11.查看当前在线用户

who

12.查看成功登录账户信息

more /var/log/secure

13.查看系统中不存在两个及以上UID为0的用户

awk -F: '($3==0){print $1}' /etc/passwd #正常情况输出一个root

关于windows的常规安全巡检项目

涉及到命令均在cmd窗口执行

1.cpu的使用率

任务管理器自己看

2.内存水位

任务管理器自己看

3.是否存在异常用户

 wmic useraccount get name,SID

4.远程桌面状态

sc query termservice #状态为STOPPED为关闭状态，RUNNING为开启状态

5.登录失败锁定开启

net accounts

6.防火墙是否开启

netsh advfirewall show allprofiles

7.补丁安装信息

wmic qfe get HotFixID

8.可疑进程排查

netstat -ano , tasklist /svc |find “pid” #先使用netstat -ano 定位可疑进程pid，通过tasklist定位到具体程序

9.可疑/高危端口排查

#netstat -ano

10.定时任务排查

schtasks /query或taskschd.msc

11.启动项排查

msconfig

12.进程连接排查

netstat -ano   #观察是否有除了正常业务链接，重点为存在互联网主机，异常ip地址可通过threatbook.com查看情报信息，辅助判断

13.Windows安全日志排查

eventvw  #win+R --->输入eventvwr -->windows日志-->安全-->筛选当前日志

日志巡检项目

在搜索框中搜索对应的日志信息，确保系统的健康运行

1102 #日志清除记录事件（1102，没有日志记录为正常
4720/4726  #账号管理记录创建/删除账户
4624/4625  #账号行为记录登录成功/失败，检查4625即可，如未出现大量短时间内登录失败账号即为正常
8698 #计划任务创建记录

所有巡检项目，以及巡检结果，需与当前服务业务进行联系，判断当前服务器是否存在异常，如存在异常则应进行应急流程，寻找出问题，保证网络安全和业务安全。

交流群：添加好友回复进群

原文始发于微信公众号（AtomsTeam）：应急响应常态化？