现场环境
如果是Linux系统的话,见过最多的是CentOS ,Linux是全命令界面的,
如果是Windows系统的话,一般是Windows server
常见应急问题
大多数应急常见的问题都是挖矿,或者是被植入菠菜
小部分是中了勒索病毒,如果是勒索病毒的话,看看360、腾讯有没有什么
解密工具,
如果没有的话就重装系统吧,自求多福 (逃。。
排查思路及方法
本节将讲解一些基本的流程,以及一些常用的命令。
基本流程
- 接到应急指令后,一般都需要到客户现场去处理的,最好带上电脑
和笔记本。
- 到达现场后,跟客户沟通,我方需要确认一些信息(我在Windows
安全应急的第三篇有讲解一些),
方便定(shuai)位(guo)问题,后面客户可能会让你上机操作,或者是
使用你自己电脑登录目标机器查找问题。
- 无论是挖矿还是菠菜,流程都差不多,
找出问题 –> 解决问题 –> 编写报告
有句传言道是:扫描一分钟,报告一个钟,如果是菠菜的话,那要多注意注意是不是修改了网站配置文件还是直接在网页上植入入的链接。
进程排查命令
整理一些基本的命令,使用不分先后顺序
这里只简单说明,
服务器被入侵后,攻击者难免会利用恶意程序来达到自己的目的。
1. 查看当前系统状态(top)
top命令:可以持续的监视进程的信息。
挖矿应急通常优先使用top命令来查看系统进程,
一般挖矿病毒站用CPU比较大
2. 查看当前系统进程信息(ps)
ps命令:可以查看进程的瞬间信息。
常用参数:
- -a:显示现行终端机下的所有程序,包括其他用户的程序。
- -e:列出程序时,显示每个程序所使用的环境变量。
- -f:显示UID,PPIP,C与STIME栏位。
3. 查看非root运行的进程(ps)
命令:
ps -U root -u root -N
4. 查看用户root运行的进程(ps)
命令:
ps -u root
5. 查看有没有奇怪进程(ps)
命令:
ps -aef | grep inetd
grep 是搜索命令
inetd 程序是一个Linux守护进程.
6. 检测隐藏进程(ps)
命令:
ps -ef | awk '{print}' | sort -n |uniq >1
命令:
ls /proc | sort -n |uniq >2
sort 命令将文本文件内容加以排序,可针对文本文件的内容,以行为单位来排序。-n 参数依照数值的大小排序。
uniq 命令用于检查及删除文本文件中重复出现的行列,一般与 sort 命令结合使用。
7. 检测系统守护进程(ls)
命令:
ls /etc/crontab
任务及用户活动排查命令
说明:机器使用过程中难免会留下一些痕迹
1. 查看当前有谁登陆在服务器上(who)
who 命令查看当前登录用户(tty本地登陆 pts远程登录)
命令:
who
w 命令查看系统信息,想知道某一时刻用户的行为
2. 查看当前登陆用户的IP信息(who)
命令:
who -m
3. 查看近期用户登陆情况(last)
命令:
last -n 5 ## -n 5 表示输出5条
4. 查看历史命令(history)
命令:
history 5 ## 5 表示输出最近使用的5条命令
5. 查看空口令账号(awk)
awk是一种编程语言,用于对文本和数据进行处理的
语法:awk [options] ‘pattern{action}’ file
命令:
awk -F: '($2=="")' /etc/shadow
没有的话啥都不输出
在没有options和pattern的情况下,可以使用cat命令
6. 查看uid为0的账号(awk)
命令:
awk -F: '($3==0)' /etc/passwd
7. 查看uid为0的账号(grep)
命令:
grep -v -E "^#" /etc/passwd | awk -F: '$3==0{print $1}'
8. 查看进程树是否所有异常进程存在一个父进程、判断进程的父子关系(pstree)
命令:
pstree -p
