【网络安全】护网系列-应急响应排查

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS PostgreSQL,集群系列 2核4GB
简介: 【网络安全】护网系列-应急响应排查

4. 应急响应排查

4.1 概述

应急响应是对安全事件的处理

比如

恶意程序(病毒)
网络攻击事件(DDOS,后门,钓鱼)
信息破坏事件(信息篡改)
设备设施故障(软硬件)
灾害性(台风)

黑客攻击的目的

窃取数据
加密勒索
瘫痪服务
挖矿
跳板机

定义:

事前准备

数据备份,风险评估,安全巡检,应急演练

事后处理

切断网络,病毒检测,后门检测
信息收集
    基础信息和影响范围
类型判断
    何种安全事件,危险情报网站
原因分析
    如何入侵
事件处理
    进程,文件,网络,布丁
报告

4.2 Linux入侵排查

如果Linux系统被入侵,如何应急响应

4.2.1 Linux被入侵症状

4.2.1.1 系统资源
(1)cpu内存和磁盘

(打字非常慢,很明显)

按CPU排序
top -c -o %CPU

image-20230723161044375.png

按内存排序
top -c -o %MEM
按进程排序
ps -aux --sort=-pcpu|head -lO
目录排序
df -Th
(2) 系统进程

下列三个展示格式不同而已

ps -ef

image-20230723161737241.png

ps -aux

image-20230723161830190.png

pstree
(3) 网络连接
查看端口
lsof -i
从网络端口出发的分析
netstat -antpl

image-20230723162242884.png

防火墙的规则
iptables -L

image-20230723162330651.png

4.2.1.2 文件和命令篡改
(1)系统文件篡改

指定目录7天内被修改的文件

find /usr/bin//usr/sbin//bin//usr/local/bin/-type f -mtime -7|xargs ls -alh
(2)系统命令篡改

比如top、ps被修改

alias别名配置(覆盖操作系统命令)

vim ~/.bashrc
source ~/.bashrc
查看别名
alias

image-20230723163213783.png

(3)SSH key文件

把公钥放在别人服务器上登录

cd/root/.ssh
cat authorized_keys
4.2.1.3 用户和日志
(1)系统用户

查看除了root用户还有UID为0的用户名单

awk -F: '$3==0{print $1}' /etc/passwd

查看当前登录的用户

who

显示已登录的用户,且在执行的命令

w

查看登录成功的用户

last

查看最近登录失败的用户

lastb

image-20230723164020031.png

查看所有用户最近登录时间

lastlog

查看用户信息

cat /etc/passwd
(2)审计日志

整体日志

/var/log/message

登录注销日志

/var/log/wtmp

登录日志

/var/log/lastlog

登录失败日志

/var/log/btmp

当前用户

/var/log/utmp

定时任务日志

/var/log/cron

系统应用登录日志

/var/log/secure

软件安装日志(重要)

/var/log/yum.log

各种应用日志

/var/log/vsftp.log
/var/log/httpd/access.log
/var/log/samba
/var/log/nfs
(3)历史命令
history
4.2.1.4 启动项和定时任务
(1)chkconfig

远程登录

systemctl list-unit-files |grep sshd

image-20230723194405521.png

启动服务

chkconfig telnet on

关闭服务

chkconfig telnet off

自定义脚本

符合固定格式,放在对应目录下

vim /etc/init.d/TEST
chmod +x /etc/init.d/TEST
chkconfig --add TEST
chkconfig --list TEST
chkconfig --del TEST
(2)systemctl

启动mysql服务

systemctl enable mysqld.service

关闭mysql服务

systemctl disable mysqld.service
(3)文件
/etc/rc.local
/etc/rc.d/rc.local
/etc/rc.d/rc
(4)定时任务
crontab -l

cat /etc/crontab

ll/etc/cron.*
4.2.1.5 挖矿脚本分析

4.2.2 Linux应急措施

(1)隔离主机

拔网线

(2)阻断通信
iptables -A INPUT -s 可疑地址 -j DROP

iptables -A OUTPUT -d 可疑地址 -j DROP
(3)清除病毒
kill -9 (pid找出来的进程号)

守护进程
lsof -p 进程号
kill -9 -进程号
(4)可疑用户

userdel

/etc/passwd
(5)启动项和服务

彻底删除

chkconfig --del TEST

systemctl disable 服务名
(6)文件和后门

系统命令被篡改

从其他系统拷贝文件
安装busybox(直接可以运行的二进制程序)

定时任务

crontab -l
cat /etc/anacrontab
cd/root/.ssh

SSH KEy

cd /root/.ssh
(7)杀毒,重装系统

4.3 Windows入侵排查

4.3.1 异常特征

(1)操作异常
  • 卡顿、报错、重启、蓝屏
(2)资源异常
  • CPU、内存、网络
(3)文件异常
  • 恶意文件、加密文件
(4)设备告警
  • 防火墙,杀软,检测平台IDS,态势感知平台等

4.3.2 系统账号安全

(1)弱口令

系统管理员掌握

远程桌面

netstat -an |findstr 3389

image-20230723202356921.png

(2)可疑账号

查看账户

net user

查看某个用户详情

net user 用户名
lusrmgr.msc
(3)隐藏、克隆账号

1、隐藏账号

管理员打开cmd

添加用户和密码(克隆账号)
net user hack$ wuya@hacker179 /add

输入regedit,打开注册表

HKEY_LOCAL_MACHINE\SAM\SAM

Domains\Account\Users\Names

下可以看到隐藏用户

net user hack$ /delete

检查方法

a、打开注册表 ,查看管理员对应键值。

b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。

参考

https://blog.csdn.net/weixin_43598634/article/details/122902727

克隆账号

见《windows权限维持》

(4)登录时间

cmd

eventvwr.msc

事件查看器

image-20230723202913047.png

【Windows日志】

https://blog.csdn.net/m0_73923817/article/details/128202250

4.3.3 检查异常端口、进程

(1)端口

端口情况

netstat -ano

最后一位是进程号

image-20230723203120745.png

找到进程,找到程序

tasklist|findstr "25056"

image-20230723203314619.png

杀掉进程

taskkill /f /t /im httpd.exe

系统端口号(预定义)

‪C:\Windows\System32\drivers\etc\services
(2)进程

1、

win + R 打开

msinfo32

image-20230723203504303.png

想看exe是否有病毒,上传到微步检测

https://s.threatbook.com/

软件环境——正在运行任务

2、D盾

WebShellKill_V2.0.9.zip

3、微软提供的高级任务管理器

ProcessExplorer.zip

image-20230723203807213.png

4.3.4 启动项、计划任务、服务

(1)启动项
  • 【开始】——【所有程序】——【启动】
  • msconfig

image-20230723203934571.png

  • 注册表regedit

    HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
    
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
    
  • 火绒——安全工具——启动项管理
(2)计划任务

直接在win R 打开,不同展现方法

taskschd.msc
compmgmt.msc
schtasks.exe
(3)服务
services.msc
sc create shell start= auto binPath= "C:\phpstudy_pro\WWW\1.exe" obj= Localsystem
sc description "shell" "安全"
(4)组策略
gpedit.msc

【Windows设置】——【脚本(启动/关机)】——双击【启动】

添加的脚本或者PowerShell

4.3.5 检查系统相关信息

(1)查找可疑目录及文件

C:\Users下的$hack文件

(2)最近打开文件
%userprofile%\AppData\Roaming\Microsoft\Windows\Recent\
(3)回收站、浏览器下载目录、浏览器历史记录
(4)根据内容搜索恶意文件

打开任意一个文件夹,在地址窗口输入cmd,在命令行中输入

findstr /m/i/s "eval" *.php

image-20230723204821242.png

查找文件内容

everything、filelocator
(5)最新修改文件

everything中设置时间倒序

(6)查看系统版本以及补丁信息
  • systeminfo.exe > systeminfo.txt

  • 工具

    下载漏洞库,进行对比

    pip install xlrd==1.2.0
    
    pip install xlrd --upgrade
    
    python2 windows-exploit-suggester.py -d 2023-03-11-mssb.xls -i systeminfo
    

4.3.6 应急响应工具箱和报告模板

(1)应急响应Checklist

Linux应急响应Checklist.xlsx

(2)应急响应工具箱

Linux应急响应工具箱.zip

Windows应急工具集.zip

(3)应急响应报告

【终稿】XX市第一人民医院应急响应报告-20220813.docx

相关实践学习
如何在云端创建MySQL数据库
开始实验后,系统会自动创建一台自建MySQL的 源数据库 ECS 实例和一台 目标数据库 RDS。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助     相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
19天前
|
网络协议 Linux
使用nmcli命令设置IP地址并排查网络故障
nmcli 是一个功能强大的网络管理工具,通过它可以轻松配置IP地址、网关和DNS,同时也能快速排查网络故障。通过正确使用nmcli命令,可以确保网络配置的准确性和稳定性,提高系统管理的效率。希望本文提供的详细步骤和示例能够帮助您更好地掌握nmcli的使用方法,并有效解决实际工作中的网络问题。
35 2
|
2月前
|
监控 安全 Linux
网络安全事件应急响应
应急响应是针对网络安全事件的快速处理流程,包括信息收集、事件判断、深入分析、清理处置、报告产出等环节。具体步骤涵盖准备、检测、抑制、根除、恢复和总结。
|
4月前
|
存储 缓存 网络协议
网络丢包排查方法
网络丢包排查方法
|
4月前
|
运维 监控 网络协议
在Linux中,如何进行网络故障排查?
在Linux中,如何进行网络故障排查?
|
4月前
|
域名解析 运维 监控
网络故障排查的常用工具与方法:技术深度解析
【8月更文挑战第20天】网络故障排查是一项复杂而重要的工作,需要网络管理员具备扎实的网络知识、丰富的实践经验和灵活的问题解决能力。通过掌握常用工具和方法,遵循科学的排查流程,可以显著提高故障排查的效率和准确性。希望本文能为读者在网络故障排查方面提供有益的参考和启示。
|
4月前
|
Kubernetes 网络协议 网络安全
在K8S中,容器提供一个服务,外部访问慢,到底是容器网络问题?还是容器服务问题?这种怎么排查?
在K8S中,容器提供一个服务,外部访问慢,到底是容器网络问题?还是容器服务问题?这种怎么排查?
|
4月前
|
Kubernetes 监控 Shell
在K8S中,我们公司用户反应pod连接数非常多,希望看一下这些连接都是什么信息?什么状态?怎么排查?容器里面没有集成bash环境、网络工具,怎么处理?
在K8S中,我们公司用户反应pod连接数非常多,希望看一下这些连接都是什么信息?什么状态?怎么排查?容器里面没有集成bash环境、网络工具,怎么处理?
|
4月前
|
Kubernetes 监控 网络协议
在K8S中,如果因为网络原因导致Pod异常,该如何排查?
在K8S中,如果因为网络原因导致Pod异常,该如何排查?
|
4月前
|
监控 网络协议 Linux
在Linux中,如何排查网络连接问题?
在Linux中,如何排查网络连接问题?
|
4月前
|
网络虚拟化
网络二层环路,老练的网工,都是这么排查的!
网络二层环路,老练的网工,都是这么排查的!