面对各种各样的安全事件，我们该怎么处理？

常见的应急响应事件分类：Web 入侵：网页挂马、主页篡改、Webshell 系统入侵：病毒木马、勒索软件、远控后门 网络攻击：DDOS 攻击、DNS 劫持、ARP 欺骗

这是一个关于安全事件应急响应的项目，从系统入侵到事件处理，收集和整理了一些案例进行分析。

什么是应急响应

“应急响应”对应的英文是“Incident Response”或“Emergency Response”等，通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。

说白了就是别人攻击你了，你怎么把这个攻击还原，看看别人是怎么攻击的，然后你如何去处理，这就是应急响应。

但是别人攻击你，你如何发现呢，很多时候，一些工具或者说监控设备是发现不了的，因为攻击者发来的有些数据包和正常的数据包是差不多的，比如新出的一个0day漏洞，天眼等监控设备还没有提取到这个漏洞的指纹信息，监控规则库里面没有，那么这个时候设备会提示你有攻击吗，不会的，所以我们需要应急响应，也就是事情发生了，你后续怎么办。

所以面试一般都会问道，有没有做过应急响应或者溯源(就是找源头，并且它是如何渗透进来的)等工作。

应急响应工作流程

详情参考技术指南规范，在工具中给大家准备了。

    整个应急响应工作是好多人一起做的，工作大致分为如下几个阶段：准备阶段：一是对信息系统进行初始化的快照。二是准备应急响应工具包。主要是你和客户那边都如何准备。启动阶段(这个其实包含在准备阶段了)攻击进来了，大家都乱套了，要应急了，开会讨论工作如何进行。检测阶段：第一步：系统维护人员或安全技术人员在执行日常任务和检测中发现系统异常（日志、进程、操作系统是否有病毒等）。第二步：发现异常情况后，形成安全事件报告。第三步：安全技术人员、系统维护人员和第三方安全事件应急服务人员查找安全事件的原因。第四步：安全技术人员、系统维护人员和第三方安全事件应急服务人员确定安全事件的原因、性质和影响范围。第五步：安全技术人员、系统维护人员和第三方安全事件应急服务人员确定安全事件的应急处理方案。此阶段工作中应注意：  第三方安全事件应急服务人员仅应在必要时参加  制定应急处理方案应包含实施方案失败的应变和回退措施
抑制阶段    抑制是对攻击所影响的范围、程度进行扼制，通过采取各种方法，控制、阻断、转移安全攻击。抑制阶段主要是针对前面检测阶段发现的攻击特征，比如攻击利用的端口，服务，攻击源，攻击利用系统漏洞等，采取有针对性的安全补救工作，以防止攻击进一步加深和扩大。    抑制阶段的风险是可能对正常业务造成影响，如在系统中了蠕虫后要拔掉网线，遭到DOS攻击时会在网络设备上做一些安全配置，由于简单口令遭到入侵后要更改口令会对系统的业务造成中断或延迟，所以在采取抑制措施时，必须充分考虑风险。
根除阶段    根除阶段是在抑制的基础上，对引起该类安全问题的最终技术原因在技术上进行完全的杜绝，比如木马查杀、寻找漏洞、修复漏洞等，并对这类安全问题所造成的后果进行弥补和消除。在根除阶段，采取的措施最大的风险主要是在系统升级或补丁时可能造成系统故障，所以必须作好备份工作。在进入抑制和根除阶段之前，应形成安全事件应急响应方案，并对方案的实施获取必要的管理授权。
恢复阶段    恢复阶段是指通过采取一系列的步骤将系统恢复到正常业务状态。一是在应急处理方案中列明所有系统变化的情况下，直接删除并恢复所有变化。二是在应急处理方案中未列明所有系统变化的情况下，重装系统。
跟进阶段    跟进阶段是应急响应的最后一个阶段，本部分的内容主要是对抑制或根除的效果进行审计，确认系统没有被再次入侵。

应急响应实施流程

参考应大码士应急响应实施指实

应急响应流程：检查异常端口、进程信息、进程连接情况、异常连接进程的运行程序文件：   查看可疑进程   找到对应程序文件   排查文件内容   干掉文件、杀掉进程

应急响应排查方法

Window 入侵排查

前言当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。

常见的应急响应事件分类：

web入侵：网页挂马、主页篡改、Webshell

系统入侵：病毒木马(病毒有传染性、木马没有，一般木马都是做后门)、勒索软件、远控后门

网络攻击：DDOS攻击(护网是不允许ddos的)、DNS劫持、ARP欺骗

针对常见的攻击事件，结合工作中应急响应事件分析和解决的方法，总结了一些Window服务器入侵排查的思路。

入侵排查思路

入侵排查思路：

1、查看账户信息：可疑账户   手工方式和工具(D盾、河马)

    手工：注册表、net user、管理界面查看用户、查看用户的属组情况

2、结合日志(系统日志、安全日志(新建、登录、注销、退出等动作的日志))，查看管理员登录时间、用户名是否存在异常

3、如果服务器或者电脑对外提供了web服务，也就是有web项目，那么重点还要分析一下web日志记录

4、检查服务器是否有异常的启动项(注册表、启动项文件存放位置、组策略等等)

5、检查计划任务(定时任务)

6、服务自启动

溯源：

7、查看系统信息：

    a. 查看系统版本以及补丁信息

    b. 查找可疑目录及文件(按照时间排序、分析最近打开分析可疑文件)

检查系统账号安全

1、查看服务器是否有弱口令，远程管理端口是否对公网开放。

检查方法：据实际情况咨询相关服务器管理员。(或者用扫描器扫描) 我们也需要把信息收集起来，比如端口信息：

我们可以扫描我们的外网ip地址，看看哪个ip地址和哪个端口是开放的，这个信息要收集起来的。

2、查看服务器是否存在可疑账号、新增账号。

检查方法：打开 cmd 窗口，输入lusrmgr.msc命令，查看是否有新增/可疑的账号，如有管理员群组的（Administrators）里的新增账户，如有，请立即禁用或删除掉。

a.检查是否有多余账户，也可以通过指令来查看 net user；

b.检查guest账户权限

c.属组权限

3、查看服务器是否存在隐藏账号、克隆账号。就是在管理里面或者通过cmd，都不能看到的用户

检查方法：regedit

a、打开注册表 ，查看管理员对应键值。

找到SAM：

设置SAM权限

刷新：

就可以展开了，然后找到Names，这是所有用户名，不管是不是隐藏的，这里是都可以看到的：

b、使用D盾_web查杀工具，也可以杀web木马，集成了对克隆账号检测的功能。参考文档：

安全工具-D盾使用方法■D盾的安装使用■

下载D盾，免费的，很厉害的一个工具，但是建议大家在win10虚拟机上用用看，因为如果你物理机开了防火墙的话，这个工具可能不让你用。

解压

运行

效果：

比如我们查杀一下webshell木马文件，这是D盾最重要的一个功能，比如我们找到一些木马文件

将这些文件复制到我们的c盘1文件夹中去

通过d盾来检测一下

效果如下

它只是帮我们检测，我们自己需要去看一下这些文件是不是木马文件，然后自行删除，它不给你删除，因为怕误删。

还有个不错的功能就是文件监控功能：

可以检测我某个目录中的文件动态。克隆账号检测：

如果有克隆账号就会看到如下效果：

但是D盾有个最大的缺点，就是不支持linux系统，那我们还可以学一个工具，叫做河马

河马使用手册：https://www.shellpub.com/doc/hm_linux_usage.html 官网: https://www.shellpub.com/

这个也是免费的,以前护网中用过,查杀webshell木马还是挺厉害的,支持linux和windows,大家可以按照手册自行下载使用一下。

4、结合日志，查看管理员登录时间、用户名是否存在异常。

检查方法：

a、Win+R打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”,这是操作系统日志。

ID538 用户的注销过程已完成。ID540 用户成功登录到网络。参看:

Windows事件查看器_ID一览表-CSDN博客

windows的日志记录都是通过事件ID来划分的。

b、导出Windows日志--安全，利用Log Parser进行分析。这个先不提了。

检查异常端口、进程1、检查端口连接情况，是否有远程连接、可疑连接。检查方法：a、netstat -ano 查看目前的网络连接，定位可疑的ESTABLISHED b、根据netstat 定位出的pid，再通过tasklist命令进行进程定位 tasklist | findstr "PID"然后可以去磁盘上搜索这个文件，比如我搜索BaiduProtect.exe：如果是木马，就结束进程，杀掉文件。

2、进程 检查方法：a、开始--运行--输入msinfo32，依次点击“软件环境->正在运行任务”就可以查看到进程的详细信息，比如进程路径、进程ID、文件创建日期、启动时间、CPU、内存等。一般CPU占用比较大的，可能有问题 b、打开D盾_web查杀工具，进程查看，关注没有签名信息(微软的签名，也就是微软信任的程序)的进 程。c、通过微软官方提供的 Process Explorer 等工具进行排查 。d、查看可疑的进程及其子进程。可以通过观察以下内容：手工查杀难度比较大，一般都是配合工具来 做，比如火绒剑。没有签名验证信息的进程 没有描述信息的进程 进程的属主 进程的路径是否合法 CPU或内存资源占用长时间过高的进程

3、小技巧：a、查看端口对应的PID：netstat -ano | findstr “port” b、查看进程对应的PID：任务管理器--查看--选择列--PID 或者 tasklist | findstr “PID” c、查看进程对应的程序位置：任务管理器--选择对应进程--右键打开文件位置 运行输入 wmic，cmd界面 输入 process d、tasklist /svc 进程--PID--服务 e、查看Windows服务所对应的端口：%system%/system32/drivers/etc/services（一般%system% 就是C:Windows）

检查启动项、计划任务、服务

1、检查服务器是否有异常的启动项。因为有些木马都是开启自启动的，不然下次开机他就没用了。检查方法：a、登录服务器，单击【开始】>【所有程序】>【启动】，默认情况下此目录在是一个空目录，确认是否有非业务程序在该目录下。b、单击开始菜单 >【运行】，输入 msconfig，查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。c、单击【开始】>【运行】，输入** regedit，打开注册表，查看开机启动项是否正常，特别注意如下三个注册表项：:::infoHKEY_CURRENT_USERsoftwaremicorsoftwindowscurrentversionrun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce 检查右侧是否有启动异常的项目，如有请删除，并建议安装杀毒软件进行病毒查杀，清除残留病毒或木马。:::d、利用安全软件查看启动项、开机时间管理等。e、组策略**，运行gpedit.msc。

2、检查计划任务 检查方法：

        a、单击【开始】>【设置】>【控制面板】>【任务计划】，查看计划任务属性，便可以发现木马文件的 路径。好多木马都是在半夜偷偷启动。

        b、单击【开始】>【运行】；输入 cmd，然后输入at或schtasks.exe，检查计算机与网络上的其它计算机之间的会话或计划任务，如有，则确认是否为正常连接。这个就不看了。

3、服务自启动 检查方法：单击【开始】>【运行】，输入services.msc，（打开服务器）注意服务状态和启动类型，检查是否有异常服务。有时候木马会以服务的方式来启动。

检查系统相关信息

1、查看系统版本以及补丁信息：检查方法：单击【开始】>【运行】，输入systeminfo，查看系统信息、补丁信息等  其实微软的补丁比较好打，开启自动更新，它就自己打了，如果不会，那么就用360安全卫士来打补丁，方法很多。2、查找可疑目录及文件 检查方法：a、 查看用户目录，新建账号会在这个目录生成一个用户目录，查看是否有新建用户目录。可以查看时间  有些攻击者很聪明，它攻击完成之后，创建一个内核级别的后门，然后就将自己的一些账号信息删掉了。但是大家注意，账号删掉了之后，也有可能留有一些历史记录，就可以在下面的目录中查看： Window 2003 C:Documents and Settings每创建一个用户，系统在这里都会创建一个对应名称的文件夹，自动记录一些信息。 Window 2008R2 C:Users b、单击【开始】>【运行】，输入%UserProfile%Recent，分析最近打开分析可疑文件。

        c、在服务器各个目录，可根据文件夹内文件列表时间进行排序，查找可疑文件。

五、自动化查杀

病毒查杀：

        检查方法：下载安全软件，更新最新病毒库，进行全盘扫描。不要用什么qq管家啊这种的。360的还是比较厉害的。还有什么卡巴斯基等

webshell查杀：

        检查方法：选择具体站点路径进行webshell查杀，建议使用两款webshell查杀工具同时查杀，可相互补充规则库的不足，D盾、河马、火绒剑等，还有win10及以上版本自带的杀毒软件，杀的比360还要狠，免杀还不好做。

六、日志分析

系统日志：

        操作系统的日志只能分析登录账号、暴力破解等动作，难一些的还需要我们去组策略中开启一些功能， 默认的日志记录的不是很详细

分析方法：

         a、前提：开启审核策略，若日后系统出现故障、安全事故则可以查看系统的日志文件，排除故障，追查 入侵者的信息等。

        b、Win+R打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”。

        C、导出应用程序日志、安全日志、系统日志，利用Log Parser进行分析。一般我们还是主要看web程序记录的日志，70%-80%的攻击，都是通过web站点进去的，操作系统远程攻击的漏洞是极少的，我们也看过，能够远程攻击的无非就那么几个漏洞，基本都是139、445端口等。

        所以相比web来讲，系统安全还是比较高的。像linux系统，安装完之后，默认只开了22端口，银行的系统甚至22端口都不对外的。

WEB访问日志：

分析方法：

        a、找到中间件的web日志，打包到本地方便进行分析。

        b、推荐工具：Window下，推荐用 EmEditor 进行日志分析，支持大文本，搜索效率还不错，windows自带的记事本不行。Linux下，结合Shell命令组合查询分析

病毒处理工具

病毒分析

PCHunter：恶意代码检测 虚拟机脱壳. Rootkit检测 木马检测

火绒剑：https://www.huorong.cn/

Process Explorer：进程资源管理器 - Sysinternals

processhacker：Downloads - Process Hacker

autoruns：Autoruns for Windows - Sysinternals

OTL：https://www.bleepingcomputer.com/download/otl/

病毒查杀

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe （推荐理由：绿色版、最新病毒库）

大蜘蛛：http://free.drweb.ru/download+cureit+free （推荐理由：扫描快、一次下载只能用1周，更新病毒库）

火绒安全软件：https://www.huorong.cn

360杀毒：http://sd.360.cn/download_center.html

病毒动态

CVERC-国家计算机病毒应急处理中心：http://www.cverc.org.cn

微步在线威胁情报社区：https://x.threatbook.cn

火绒安全论坛：http://bbs.huorong.cn/forum-59-1.html

爱毒霸社区：http://bbs.duba.net

腾讯电脑管家：http://bbs.guanjia.qq.com/forum-2-1.html

在线病毒扫描网站

http://www.virscan.org //多引擎在线病毒扫描网 v1.02，当前支持 41 款杀毒引擎

https://habo.qq.com //腾讯哈勃分析系统

https://virusscan.jotti.org //Jotti恶意软件扫描系统

http://www.scanvir.com //针对计算机病毒、手机病毒、可疑文件等进行检测分析

webshell查杀

D盾_Web查杀：http://www.d99net.net/index.asp

河马webshell查杀：http://www.shellpub.com

深信服Webshell网站后门检测工具：http://edr.sangfor.com.cn/backdoor_detection.html

Safe3：http://www.uusec.com/webshell.zip

原文始发于微信公众号（安全君呀）：护网分享 | 应急响应实战