赞
踩
常见危害: 1.暴力破解:针对系统有包括rdp、ssh、telnet等,针对服务有包括mysql、ftp等,一般可以通过超级弱口令工具、hydra进行爆破 。 2.漏洞利用:通过系统、服务的漏洞进行攻击,如永恒之蓝等 3.流量攻击:主要是对目标机器进行dos攻击,从而导致服务器瘫痪 4.木马控制:主要分为webshell和PC木马,webshell是存在于网站应用中的,而PC木马是进入系统进行植入的。目的是对系统进行持久控制 。 5.病毒感染:主要分挖矿病毒、蠕虫病毒、勒索病毒等,对目标文件或目录进行加密,用户需要支付酬金给黑客。 危险分析: 账户:账户异常、账户增加,看攻击者是否留有后门账户 端口:异常端口开放,看是否与外部地址的某个端口建立了连接 进程:异常进程加载,看是否存在异常进程执行(排除系统正常进程) 网络:网络连接异常,看是否对局域网内其他IP地址进行请求(横向)或自身网络异常 启动:异常程序开机自启动,看是否存在开机自启动的程序,排查是否为恶意程序 服务:异常服务添加、启动,看机器上是否存在异常服务(排除系统正常服务) 任务:异常定时任务执行,看机器上是否存在定时任务 文件:异常文件,看机器上是否存在异常文件,如后门、病毒、木马等 补充资料: 应急响应大合集:https://xz.aliyun.com/t/485 Windows安全工具锦集:https://www.secpulse.com/archives/114019.html 微软官方工具:https://docs.microsoft.com/en-us/sysinternals/ 病毒分析: PCHunter:http://www.xuetr.com 火绒剑:https://www.huorong.cn Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer processhacker:https://processhacker.sourceforge.io/downloads.php autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns OTL:https://www.bleepingcomputer.com/download/otl/ SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector 病毒查杀: 卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe 大蜘蛛:http://free.drweb.ru/download+cureit+free 火绒安全软件:https://www.huorong.cn 360 杀毒:http://sd.360.cn/download_center.html 病毒动态: CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn 微步在线威胁情报社区:https://x.threatbook.cn 火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html 爱毒霸社区:http://bbs.duba.net 腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html 在线病毒扫描网站: 多引擎在线病毒扫描网:http://www.virscan.org 腾讯哈勃分析系统:https://habo.qq.com Jotti 恶意软件扫描系统:https://virusscan.jotti.org 计算机病毒、手机病毒、可疑文件分析 :http://www.scanvir.com
windows2012日志分析
windows2012服务器日志位置:打开服务器管理 --> 所有服务器 --> 计算机管理–> 事件查看器–> windows日志
Windows系统的日志一般分为三种
系统日志: System.evtx (系统组件等日志)
应用程序日志: Application.evtx (应用程序等日志)
安全日志: Security.evtx (系统登录等日志)
分为应用程序(软件信息)、安全(登录信息)、设置、系统(服务策略信息)
Windows系统日志默认保存在:c:\Windows\System3\config
windows自带日志工具不好用,查找分析不方便,推荐使用LogFusion工具。
LogFusion打开本地日志
演示Windows日志分析:
1.使用弱口令检测工具模拟攻击。
2.在LogFusion的安全里面查看登录情况
可根据时间ID进行筛选:
常见事件ID:
4624 登录成功
4625 登录成功
4634 注销成功
4647 用户启动的注销
4672 管理员登录
4720 创建用户
双击进入,查看详细信息(可以看到是哪个IP地址爆破密码成功,成功登录了本机)
Linux的Ubuntu日志分析
-linux日志位置:/var/log
使用grep筛选
1、统计了下日志,确认服务器遭受多少次暴力破解
grep -o "Failed password" /var/log/secure|uniq -c
2.输出登录爆破的第一行和最后一行,确认爆破时间范围
grep "Failed password" /var/log/secure|head -1 grep "Failed password" /var/log/secure|tail -1
3.进一步定位有哪些 IP 在爆破?
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[04][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][09]?)"|uniq -c | sort -nr
4.爆破用户名字典都有哪些?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort nr
5.登录成功的日期、用户名、IP
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
windows执行木马,CS上线,模拟攻击
windows:默认配置测试
1.cs上线Windows
2.使用工具来查看进程通讯信息
TCPView工具,可以查看哪个进程进行过远程通讯,从而确定系统是否曾经遭受过攻击。(windows自带工具,不推荐,进程信息加载不全)
Process Explorer工具,可以查看分析进程(windows自带)
PCHunter工具。集成了查看进程和ip通信和进程查看。
缺点是:windows高版本(Windows2012以上)网络信息获取不全。比如木马在windows7执行后,该工具可以获取网络信息。
黑色的为系统进程,蓝色的为非系统进程
1.“进程”页面下,缺少数字签名、文件厂商等信息的进程很有可能是木马
2.“网络”页面下,可以排查可疑的远程连接和它指向的文件名
3.有些木马文件会写到内核里头,需要在内核界面排查
4.“文件”页面可以看隐藏文件
5.在“启动信息”“启动项”排查有无可疑启动项,“服务”“计划任务”可以排查可疑服务
6.“系统杂项”“系统用户名”排查有无隐藏用户
UserAssistView:
UserAssistView可以查看文件执行记录,是官方工具
找到后门文件后,可以通过该文件查看后门文件的执行情况
LogonSessions:
LogonSessions可以查看当前会话,是官方工具
可以用来分析有没有远程连接
Autoruns:
Autoruns可以查看Windows上的自启动项目
Linux-自动化响应检测-Gscan
CS上线Linux主机参考:https://www.adminxe.com/1287.html
自动化响应检测工具:GScan、chkrootkit、rkhunter、lynis
GScan下载:https://github.com/grayddq/GScan/
使用git下载 git clone https://github.com/grayddq/GScan.git 来到Gscan的文件夹 cd GScan 运行Gscan python GScan.py GScan功能: 1、主机信息获取 2、系统初始化alias检查 3、文件类安全扫描 4、各用户历史操作类 5、进程类安全检测 6、网络类安全检测 7、后门类检测 8、账户类安全排查 9、日志类安全分析 10、安全配置类分析 11、Rootkit分析 12.WebShell类文件扫描---Python3运行文件---扫描的结果---netstat -ntl可以查看tcp端口等,再通过ps命令找到对应的进程,分析其是否是木马病毒---ps命令显示linux进程信息,进程信息主要包括进程用户、pid、内存、cpu、启动时间、路径、终端等
运行Gscan,自动检测
Gscan检测效果:
系统中毒表现:
所有文本文件都变为乱码,尝试打开会连带打开病毒介绍,桌面图片也连带被改变
永恒之蓝样本下载地址: https://bbs.pediy.com/thread-217586-1.html
勒索病毒解密网站:
https://lesuobingdu.360.cn/
https://www.nomoreransom.org/zh/index.html
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。