废话不多说 直接上
排查方式
事件类型 - 时间范围 - 文件排除 - 进程排除 - 系统信息 - 日志分析 - 入侵方式 - 解决办法
windows 应急知识点
windows 不做过多讲解 如需 后台输入 cmd 获取pdf
linux 应急知识点
对linux 不熟悉 跳转此文章
linux常用命令
系统信息
uname -a cat /proc/version lsmod
用户信息
useradd userdel 的命令时间变化(stat),以及是否包含可疑信息 cat /etc/passw dUID 为0 登录用户 /bin/bash
历史命令
history cat /root/.bash_history
命令操作痕迹,以便进一 步排查溯源。有可能通过记录关联到如下信息:
wget 远程某主机(域名&IP)的远控文件; 尝试连接内网某主机(ssh scp),便于分析攻击者意图; 打包某敏感数据或代码,tar zip 类命令 对系统进行配置,包括命令修改、远控木马类,可找到攻击者关联信息
启动项
/etc/init.d/rc.local /etc/rc.local /etc/init.d
计划任务
crontab -l 列出计划任务 crontab -e 编辑计划任务
进程
netstat -ltunp 找出可疑pid ls -alh /proc/pid lsof -p pid ps -ef |grep xxx
时间点
find 目录 文件 -mtime -n +n 文件更改时间 -n n天内 +n n天前 -atime -n +n 文件访问时间 -n n天内 +n n天前 -ctime -n +n 文件创建时间 -n n天内 +n n天前 找出新增的文件 find / -ctime 0 -name ".sh" webshell 查找 find /var/www/ -name "*.php" |xary egrep "eval|base64|assert"
日志分析
1)/var/log/secure:记录登录系统存取数据的文件; 例如:pop3,ssh,telnet,ftp等都会记录在此. 2)/ar/log/btmp:记录登录的信息记录,被编码过,所以必须以last解析; 例如:lastb | awk '{ print $3}' | sort | uniq -c | sort -nr | more 3)/var/log/message:几乎所有的开机系统发生的错误都会在此记录; 4)/var/log.boot.log:记录一些开机或者关机启动的一些服务显示的启动或者关闭的信息; 5)/var/log/maillog:记录邮件的存取和往来; 6)/var/log/cron:用来记录crontab这个服务的内容; 7)/var/log/httpd,/var/log/mysqld.log等等文件,记录几个不同的网络服务的记录文件; 8)/var/log/acpid , ACPI - Advanced Configuration and Power Interface,表示高级配置和电源管理接口。 后面的 d 表示 deamon 。acpid 也就是 the ACPI event daemon 。也就是 acpi 的消息进程。用来控制、获取、管理 acpi 的状态的服务程序。 9)/var/run/utmp 记录着现在登录的用户; 10)/var/log/lastlog 记录每个用户最后的登录信息; 11)/var/log/btmp 记录错误的登录尝试; 12)/var/log/dmesg内核日志; 13)/var/log/cpus CPU的处理信息; 14)/var/log/syslog 事件记录监控程序日志; 15)/var/log/auth.log 用户认证日志; 16)/var/log/daemon.log 系统进程日志; 17)/var/log/mail.err 邮件错误信息; 18)/var/log/mail.info 邮件信息; 19)/var/log/mail.warn 邮件警告信息; 20)/var/log/daemon.log 系统监控程序产生的信息; 21)/var/log/kern 内核产生的信息; 22)/var/log/lpr 行打印机假脱机系统产生的信息
内存分析
1.基于用户模式程序的内存获取 2.基于内核模式程序的内存获取 3.基于系统崩溃转储的内存获取 4.基于操作系统注入的内存获取 5.基于系统休眠文件的内存获取 6.基于虚拟化快照的内存获取 7.基于系统冷启动的内存获取 8.基于硬件的内存获取 可用工具 RamCapture FTK Imager Redline Volatility psxview malfind
常用工具
SysinternalsSuite是一个有工具的集合,里面的工具可以管理、故障分析和诊断你的 Windows系统和应用程序。你能想到的相关排查问题的功能,里面都涵盖了,里面的工具 太多,没有办法一一介绍,如使用AD Explorer轻松导航AD数据库,定义收藏位置,查看 对象属性和属性,而无需打开对话框,编辑权限,查看对象的架构,以及执行可以保存和重 新执行的复杂搜索;使用TCPView查看网络连接情况 ;使用PsExec在远程系统上启动交互 式命令提示和IpConfig等远程启用工具;使用Autoruns对进程,服务,启动项等进行检测;使用procdump对内存进行dump等等。更多工具功能可以在下面网址去查询相关的功能及 使用方法。https://docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite
PCHunter是一款强大的内核级监控软件,软件可以查看内核文件、驱动模块、隐藏进程、注册表, 内核,网络等等信息,和PCHunter功能相似的还有火绒剑,PowerTool等。具体的功能有下图所示 数字签名颜色说明:黑色:微软签名的驱动程序;蓝色:非微软签名的驱动程序;红色:驱动检测到的可疑对象,隐藏服务、进程、被挂钩函数;
Process monitor主要是监控进程的行为应用程序运行时使用此软件来监控程序的各种操作。此软 件主要监控程序的五种行为:文件系统,注册表,进程,网络,分析。由于此款软件监控的是系统中 所有的进程的行为,数据量往往很大,不利于我们分析数据,所以需要对其设置过滤选项,通过Filter- >Filter选项可以看到右侧的窗口,在此窗口中增加过滤项。
Event Log Explorer是一款检测系统安全的软件。查看,监视和分析跟事件记录,包括安全,系统,应 用程序和其他微软Windows 的记录被记载的事件。
FullEventLogView是一个轻量级的日志检索工具,特点是绿色版,免安装,同时检索功能比 windows自带的检索工具要快,展示要好。功能大家在用的时候探索一下就好,比较简单。
Log Parser是微软工程师写的一个日志分析工具,功能很强大,支持SQL 查询语法的 日志查询工具。
勒索病毒及解密工具查询网站
https://lesuobingdu.qianxin.com/ http://lesuobingdu.360.cn/ https://guanjia.qq.com/pr/ls/#navi_0 https://id-ransomware.malwarehunterteam.com/ https://www.nomoreransom.org/zh/index.html https://esupport.trendmicro.com/en-us/home/pages/technical-support/1114221.aspx https://noransom.kaspersky.com/ https://www.emsisoft.com/ransomware-decryption-tools/ https://www.avast.com/en-us/ransomware-decryption-tools https://www.quickheal.com/free-ransomware-decryption-tool/
