【网络安全】护网系列-应急响应排查

4. 应急响应排查

4.1 概述

应急响应是对安全事件的处理

比如

恶意程序（病毒）
网络攻击事件（DDOS，后门，钓鱼）
信息破坏事件（信息篡改）
设备设施故障（软硬件）
灾害性（台风）

黑客攻击的目的

窃取数据
加密勒索
瘫痪服务
挖矿
跳板机

定义：

事前准备

数据备份，风险评估，安全巡检，应急演练

事后处理

切断网络，病毒检测，后门检测

信息收集
    基础信息和影响范围
类型判断
    何种安全事件，危险情报网站
原因分析
    如何入侵
事件处理
    进程，文件，网络，布丁
报告

4.2 Linux入侵排查

如果Linux系统被入侵，如何应急响应

4.2.1 Linux被入侵症状

4.2.1.1 系统资源

（1）cpu内存和磁盘

（打字非常慢，很明显）

按CPU排序
top -c -o %CPU

按内存排序
top -c -o %MEM

按进程排序
ps -aux --sort=-pcpu|head -lO

目录排序
df -Th

（2） 系统进程

下列三个展示格式不同而已

ps -ef

ps -aux

pstree

（3） 网络连接

查看端口
lsof -i

从网络端口出发的分析
netstat -antpl

防火墙的规则
iptables -L

4.2.1.2 文件和命令篡改

（1）系统文件篡改

指定目录7天内被修改的文件

find /usr/bin//usr/sbin//bin//usr/local/bin/-type f -mtime -7|xargs ls -alh

（2）系统命令篡改

比如top、ps被修改

alias别名配置（覆盖操作系统命令）

vim ~/.bashrc

source ~/.bashrc

查看别名
alias

（3）SSH key文件

把公钥放在别人服务器上登录

cd/root/.ssh

cat authorized_keys

4.2.1.3 用户和日志

（1）系统用户

查看除了root用户还有UID为0的用户名单

awk -F: '$3==0{print $1}' /etc/passwd

查看当前登录的用户

who

显示已登录的用户，且在执行的命令

w

查看登录成功的用户

last

查看最近登录失败的用户

lastb

查看所有用户最近登录时间

lastlog

查看用户信息

cat /etc/passwd

（2）审计日志

整体日志

/var/log/message

登录注销日志

/var/log/wtmp

登录日志

/var/log/lastlog

登录失败日志

/var/log/btmp

当前用户

/var/log/utmp

定时任务日志

/var/log/cron

系统应用登录日志

/var/log/secure

软件安装日志（重要）

/var/log/yum.log

各种应用日志

/var/log/vsftp.log
/var/log/httpd/access.log
/var/log/samba
/var/log/nfs

（3）历史命令

history

4.2.1.4 启动项和定时任务

（1）chkconfig

远程登录

systemctl list-unit-files |grep sshd

启动服务

chkconfig telnet on

关闭服务

chkconfig telnet off

自定义脚本

符合固定格式，放在对应目录下

vim /etc/init.d/TEST
chmod +x /etc/init.d/TEST
chkconfig --add TEST
chkconfig --list TEST
chkconfig --del TEST

（2）systemctl

启动mysql服务

systemctl enable mysqld.service

关闭mysql服务

systemctl disable mysqld.service

（3）文件

/etc/rc.local
/etc/rc.d/rc.local
/etc/rc.d/rc

（4）定时任务

crontab -l

cat /etc/crontab

ll/etc/cron.*

4.2.1.5 挖矿脚本分析

4.2.2 Linux应急措施

（1）隔离主机

拔网线

（2）阻断通信

iptables -A INPUT -s 可疑地址 -j DROP

iptables -A OUTPUT -d 可疑地址 -j DROP

（3）清除病毒

kill -9 (pid找出来的进程号)

守护进程
lsof -p 进程号
kill -9 -进程号

（4）可疑用户

userdel

/etc/passwd

（5）启动项和服务

彻底删除

chkconfig --del TEST

systemctl disable 服务名

（6）文件和后门

系统命令被篡改

从其他系统拷贝文件
安装busybox（直接可以运行的二进制程序）

定时任务

crontab -l
cat /etc/anacrontab
cd/root/.ssh

SSH KEy

cd /root/.ssh

（7）杀毒，重装系统

4.3 Windows入侵排查

4.3.1 异常特征

（1）操作异常

• 卡顿、报错、重启、蓝屏

（2）资源异常

• CPU、内存、网络

（3）文件异常

• 恶意文件、加密文件

（4）设备告警

• 防火墙，杀软，检测平台IDS，态势感知平台等

4.3.2 系统账号安全

（1）弱口令

系统管理员掌握

远程桌面

netstat -an |findstr 3389

（2）可疑账号

查看账户

net user

查看某个用户详情

net user 用户名

lusrmgr.msc

（3）隐藏、克隆账号

1、隐藏账号

管理员打开cmd

添加用户和密码（克隆账号）
net user hack$ wuya@hacker179 /add

输入regedit，打开注册表

HKEY_LOCAL_MACHINE\SAM\SAM

在

Domains\Account\Users\Names

下可以看到隐藏用户

net user hack$ /delete

检查方法

a、打开注册表 ，查看管理员对应键值。

b、使用D盾_web查杀工具，集成了对克隆账号检测的功能。

参考

https://blog.csdn.net/weixin_43598634/article/details/122902727

克隆账号

见《windows权限维持》

（4）登录时间

cmd

eventvwr.msc

事件查看器

【Windows日志】

https://blog.csdn.net/m0_73923817/article/details/128202250

4.3.3 检查异常端口、进程

（1）端口

端口情况

netstat -ano

最后一位是进程号

找到进程，找到程序

tasklist|findstr "25056"

杀掉进程

taskkill /f /t /im httpd.exe

系统端口号（预定义）

‪C:\Windows\System32\drivers\etc\services

（2）进程

1、

win + R 打开

msinfo32

想看exe是否有病毒，上传到微步检测

https://s.threatbook.com/

软件环境——正在运行任务

2、D盾

WebShellKill_V2.0.9.zip

3、微软提供的高级任务管理器

ProcessExplorer.zip

4.3.4 启动项、计划任务、服务

（1）启动项

• 【开始】——【所有程序】——【启动】
• msconfig

• 注册表regedit

  HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
  

• 火绒——安全工具——启动项管理

（2）计划任务

直接在win R 打开，不同展现方法

taskschd.msc

compmgmt.msc

schtasks.exe

（3）服务

services.msc

sc create shell start= auto binPath= "C:\phpstudy_pro\WWW\1.exe" obj= Localsystem

sc description "shell" "安全"

（4）组策略

gpedit.msc

【Windows设置】——【脚本(启动/关机)】——双击【启动】

添加的脚本或者PowerShell

4.3.5 检查系统相关信息

（1）查找可疑目录及文件

C:\Users下的$hack文件

（2）最近打开文件

%userprofile%\AppData\Roaming\Microsoft\Windows\Recent\

（3）回收站、浏览器下载目录、浏览器历史记录

（4）根据内容搜索恶意文件

打开任意一个文件夹，在地址窗口输入cmd，在命令行中输入

findstr /m/i/s "eval" *.php

查找文件内容

everything、filelocator

（5）最新修改文件

everything中设置时间倒序

（6）查看系统版本以及补丁信息

• systeminfo.exe > systeminfo.txt

• 工具

  下载漏洞库，进行对比

  pip install xlrd==1.2.0
  
  pip install xlrd --upgrade
  
  python2 windows-exploit-suggester.py -d 2023-03-11-mssb.xls -i systeminfo
  

4.3.6 应急响应工具箱和报告模板

（1）应急响应Checklist

Linux应急响应Checklist.xlsx

（2）应急响应工具箱

Linux应急响应工具箱.zip

Windows应急工具集.zip

（3）应急响应报告

【终稿】XX市第一人民医院应急响应报告-20220813.docx