应急响应笔记(一)
关于攻防演练中的应急响应实战笔记 包括相关漏洞信息及系统等 持续更新
应急响应通常是攻击者通过特定手法已经拿到某台机器权限 也就是常说的有机器沦陷了 这个时候就需要应急处置了
Windows应急响应
响应事件分类
web入侵:网页挂马、主页篡改、Webshell
系统入侵:病毒木马、勒索软件、远控后门
网络攻击:DDOS攻击、DNS劫持、ARP欺骗
入侵排查
一:检查系统账号安全
1:检测系统账号
先查看是否存在弱口令 高危端口是否对公网开放
2:查看是否存在恶意账号
CreateHiddenAccount_v0.2
可以使用工具查看隐藏账号 或在注册表查看 又或一些明显的hacker用户
3:查看是否存在克隆账号
使用D盾web查杀工具 或使用注册表查看
4:结合日志 查看管理员登陆时间 是否有异常登录
这里主要是用Windows自带的安全日志分析
也可以当日志导出到本地使用GitHub工具进行分析
二:检查异常端口、进程
1:通过命令的方式检查异常端口
netstat -ano // netstat -anp
查看目前网络连接 看看有无可疑端口例如60000以上的
可以通过pid去定位 然后tasklist定位进程
tasklist | findstr "PID号"
2:进程
进程最好是通过一些工具去查看 PChunter&tcpview&process Explorer
也可以使用D盾web查杀工具
三:检查启动项、计划任务、服务
1:通过注册表来进行排查
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
通过杀毒软件来进行查杀
利用安全软件查看启动项
检查计划任务
控制面板 任务计划查看
服务自启动service.msc注意服务状态检查是否有异常服务
四:检查系统相关信息
1:查看系统版本以及补丁信息
先确认系统的版本Windows10或是Windows11或是Windows server2012
2:cmd输入systeminfo查看相关系统信息
3:查找可疑目录及文件
使用杀毒软件全盘查杀或是搜索工具过滤php或jsp文件
利用 Registry Workshop 注册表编辑器的搜索功能
利用工具执行自动化查杀
五:日志分析
1:win+r输入eventvwr.msc查看事件
导出相关日志 利用Log Parser进行分析
2:web日志
利用文本编辑器进行日志分析 或使用一些工具进行日志分析web安全日志分析工具
Linux应急响应
入侵排查
一:账号安全
1:用户信息文件/etc/passwd
root:x:0:0:root:/root:/bin/bash
用户名:密码:用户ID:组ID:用户说明:家目录:登录之后shell
注意:无密码只允许本机登录,远程不允许登录
2:影子文件/etc/shadow
root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV
9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之
后的宽限天数:账号失效时间:保留
who 查看当前登录用户(tty本地登陆 pts远程登录)
w 查看系统信息,想知道某一时刻用户的行为
uptime 查看登陆多久、多少用户,负载
入侵排查
1、查询特权用户特权用户(uid 为0)
[root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd
2、查询可以远程登录的帐号信息
[root@localhost ~]# awk '/\$1|\$6/{print $1}' /etc/shadow
3、除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限
[root@localhost ~]# more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
4、禁用或删除多余及可疑的帐号
usermod -L user 禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头
userdel user 删除user用户
userdel -r user 将删除user用户,并且将/home目录下的user目录一并删除
二:历史命令
.bash_history
history
查看系统执行的历史命令
root历史命令history
/home各账号目录下的.bash_history命令
历史命令删除history -c
但是不会删除文件中的记录 需要手动删除.bash_history记录
正常whoami是可以查看记录的
不留记录操作>空格whoami
三:异常端口、进程
netstat -antlp|more
查看pid所对应的进程文件路径
运行ls -l /proc/$PID/exe或file /proc/$PID/exe($PID 为对应的pid 号)
ps aux | grep pid
分析进程
也可以使用自定义的shell脚本去自动化检测
四:检查开机启动项
运行级别
0 关机
1 单用户模式
2 不完全命令行模式
3 完全命令行模式
4 系统保留
5 图像化模式
6重新启动
查看运行级别命令 runlevel
vi /etc/inittab
id=3:initdefault 系统开机后直接进入哪个运行级别
也可以init 0&init 6
启动项文件 more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d/
五:检查定时任务
利用crontab创建计划任务
crontab -l 列出某个用户cron服务的详细内容
优先关注
/var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*
小技巧
more /etc/cron.daily/* 查看目录下所有文件
六:检查服务
服务自启动
查看已安装的服务
检查异常文件
/tmp /etc /www 目录
同时注意隐藏文件夹,以“..”为名的文件夹具有隐藏属性
也可以使用find命令查找
七:检查系统日志
日志默认存放位置:/var/log/
查看日志配置情况:more /etc/rsyslog.conf
日志文件 说明
/var/log/cron 记录了系统定时任务相关的日志
/var/log/cups 记录打印信息的日志
/var/log/dmesg 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息
/var/log/mailog 记录邮件信息
/var/log/message 记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息,如果系
统出现问题时,首先要检查的就应该是这个日志文件
/var/log/btmp 记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用lastb命令查看
/var/log/lastlog 记录系统中所有用户最后一次登录时间的日志,这个文件是二进制文件,不能直接vi,而要
使用lastlog命令查看
/var/log/wtmp 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文
件也是一个二进制文件,不能直接vi,而需要使用last命令来查看
/var/log/utmp 记录当前已经登录的用户信息,这个文件会随着用户的登录和注销不断变化,只记录当前登
录用户的信息。同样这个文件不能直接vi,而要使用w,who,users等命令来查询
/var/log/secure 记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换
用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中
通过grep命令来过滤
定位有多少IP在爆破主机的root帐号:
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr
| more
工具篇
病毒分析
PCHunter:http://www.xuetr.com
火绒剑:https://www.huorong.cn
Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker:https://processhacker.sourceforge.io/downloads.php
autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL:https://www.bleepingcomputer.com/download/otl/
SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector
病毒查杀卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
大蜘蛛:http://free.drweb.ru/download+cureit+free
火绒安全软件:https://www.huorong.cn
360杀毒:http://sd.360.cn/download_center.html
在线病毒扫描网站
http://www.virscan.org //多引擎在线病毒扫描网 v1.02,当前支持 41 款杀毒引擎
https://habo.qq.com //腾讯哈勃分析系统
https://virusscan.jotti.org //Jotti恶意软件扫描系统
http://www.scanvir.com //针对计算机病毒、手机病毒、可疑文件等进行检测分析
webshell查杀
D盾_Web查杀:http://www.d99net.net/index.asp
河马webshell查杀:http://www.shellpub.com
深信服Webshell网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.html
Safe3:http://www.uusec.com/webshell.zip
