应急溯源文档

本文章主要讲解一些windows、linux应急溯源的相关技能，纯技术文档。文档写在word里导入的排版可能存在问题请见谅。

Windows检查

1、自动化全盘查杀

全盘查杀耗时较长，上机后使用本机安装的终端管控或杀软进行全盘查杀，杀毒前升级病毒库版本至最新。如没有询问是否可以安装，从官网下载进行安装。

2、网络进程排查

    1)网络排查

该项需要多留意与互联网存在连接的行为，不管是否连接成功。并记录外联的IP地址去威胁情报平台查询是否属于恶意IP，对于恶意IP进行封禁。

检查网络连接情况：netstat -ano

威胁情报平台查询

2)存在可疑的连接根据pid查找进程

tasklist  | findstr "PID"

3)进程排查：tasklist

检查存在可疑名字的进程

也可使用任务管理器去排查

3、恶意文件排查

针对恶意文件查杀分不同场景一种是有应用服务的场景，一种是个人PC，不同场景排查项重点不同。

    应用服务场景-PC

对于个人PC一般发生于被钓鱼的场景，重点关注恶意C2木马文件

1. 个人终端防护防护日志

对于安装了个人终端防护的可以从日志中去排查在从发现攻击前12小时开始排查，此处使用天擎演示。

Win+R打开运行输入：%UserProfile%Recent

检查最近打开的文件

根据时间去排查

打开敏感文件路径如：download、微信下载路径等等，再根据时间排序来检查新增的文件排查恶意文件。

查看浏览器下载记录

    

    应用服务场景-服务器

1. webshell排查

使用D盾等杀软查杀。

2、免杀webshell查找：

1）检查iis目录或者其他目录www、app、 xamp、等等、、、

2）在其上传目录下查找新增的可执行文件；

3）在整个应用服务器下根据时间查找新增的文件；

4）对于更改时间的木马，去排查可疑的名字或者其他伪装为正常名字的木马。（需要代码分析能力）

3、内存马排查

1）使用开源的一些内存马查杀工具

2）根据web访问日志去排查在上传webshell后存在大量访问的文件、接口、路由。有可能就是内存马的请求路径。针对内存马的查杀只能重启服务。

3）检查可疑的*.Servlet、*.Filter（这一项需要大量的时间和java技能）

4) 可执行文件排查与PC情景排查一样。

4、计划任务排查

在攻击者获取服务后会进行权限维持，所以要对计划任务、自启动项进行排查。

Cmd里输入at或schtasks.exe

重点排查新增的计划任务

5、用户排查

排查服务器是否存在新增账号：隐藏账号、克隆账号

1）cmd窗口输入lusrmgr.msc打开用户和组管理，查看其中的账户是否是正常账户

2）打开C:Users检查是否存在新增用户

1. 注册表HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers

或使用其他工具进行检查如D盾

Linux检查网络进程排查

1. 网络连接：netstat -anpt

查看与外网存在通信的连接

根据网络连接PID 定位排查可执行程序

Ls -l /proc/pid号/exe

File /proc/pid号/exe

2）进程排查：ps aux --forest

恶意文件排查

1. webshell排查

根据时间及后缀进行排查：ls -lt | grep ".jsp" | head -n 10

根据时间段和后缀进行检查：find / -name "*.jsp" -newermt "2024-07-20"

1. 内存马排查

Filter、servlet内存马

sc  *.Filter   #查看filter类，排查可疑数据

sc - d  可疑的类名  #查看可疑类加载的class-loader

jad 可疑类名  #查看类的内容

classloader  #查看可疑类

通过dump内存排查

heapdump  #查看内存文件路径

strings  dump内存路径 | grep "POST /"  #查看内容内存马映射路由

strings  dump内存路径 | grep -E "/webapps/.*?!" | sort -u #查看可疑的web路径

用户排查

1）查看用户：cat /etc/passwd

2)查看可以远程登录的账号：awk '/$1|$6/{print $1}' /etc/shadow

3)查看root用户：awk -F: '$3==0{print $1}' /etc/passwd

4）SSH公钥排查：cat  ~/.ssh/authorized_keys

计划任务排查

命令：crontab -l

more /etc/cron.daily/*

重点关注以下文件夹：

/var/spool/cron/*

/etc/crontab

/etc/cron.d/*

/etc/cron.daily/*

/etc/cron.hourly/*

/etc/cron.monthly/*

/etc/cron.weekly/

/etc/anacrontab

/var/spool/anacron/*

启动项排查

文件路径：/etc/rc.local

/etc/rc.d/*.d

历史命令排查

命令：histroy

路径：/home/ .bash_history

其他

日志分析技巧：

筛选爆破IP：

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[0 1]?[0-9][0-9]?)"|uniq -c

登陆成功的IP：

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

# 登录成功的日期、用户名、IP:

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

横向排查

1. 通过全流量设备
2. 以被攻击服务器IP为源IP 排查被攻击后该服务器与哪些服务器存在通信是否存在攻击行为。
3. 以被攻击服务器IP为目的IP排查该服务器是否是通过跳板进行的攻击。向前进行攻击溯源。
4. 提取服务器上的恶意木马分析其C2地址，在全流量设备全时间段检索是否存在与该C2地址存在通信的机器。

漏洞攻击排查

在服务器被上传webshell后通过webshell名在web访问日志上去检索定位webshell第一次出现的记录，然后根据访问的IP调用该IP所有的访问记录，然后在结果中再次检索该木马出现的记录的上一条 基本可以确定为漏洞的路径。

确定攻击路径后去全流量设备检索该路径找出数据包，排查是否属于0day漏洞。

原文始发于微信公众号（小羊安全屋）：【技术分享】应急溯源文档