应急响应速查

最重要的：我是谁？我在哪？别人怎么进来的？我就是这个被挖矿被勒索的电脑。

分析项 ：

一、了解大概的被入侵系统情况：

发现时间？怎么发现的？这台机器有没有人运维？平时还有哪些人在用？有没有公网ip？挖矿？还是勒索？内外网？是内网？还是外网？还是办公网？或者设备网段？等等
服务器：是windows 还是linux？ 几台？
服务是什么服务？web服务？还是数据库？还是设备服务器？还是个人pc？

二、入侵现场：

（主要看异常现象：网络流量、异常端口、cpu、内存）
网络状态
进程信息
分析恶意程序

攻击维持：查看历史命令 查看linux账户 开机启动 定时任务、内核驱动、ssh排查

入侵原因：
弱密码、默认密码、系统漏洞、web漏洞、数据库漏洞？

查看日志

查看ssh登录记录：
less /var/log/secure | grep 'Accepted'

恶意进程关联：
大多数情况恶意进程的父进程都是1，而有些情况下恶意进程的父进程可能不是1，比如父进程是httpd，这种情况下，就可以大胆猜测攻击者是通过利用父进程的漏洞达成攻击。
通过命令ps -ef 查看进程的父进程pid也就是ppid
通过 ps auxef 查看恶意进程启动的用户，如果发现比如是mysql用户启动，那么就可以推断是通过mysql服务入侵。

参考：linux应急 Linux应急响应笔记 - FreeBuf网络安全行业门户

---

Linux应急常用命令：

/etc/
passwd 用户信息文件
crontab 定时任务文件
anacrontab 异步定时任务文件
/etc/rc.d/rc.local 开机启动项

/var/log/
btmp 登录失败日志last命令查看
cron 定时任务执行日志
lastlog 所有用户登录信息 lastlog
secure 验证、授权等日志
wtmp 包含用户登录日志，last命令查看
utmp 当前登录系统的用户信息，使用last命令查看

stat /root/vulhub/
查看当前文件的创建时间、修改时间

lastlog 哪些用户登录过服务器
last 哪些用户尝试登录到服务器（大量登录请求的即很可能为爆破）

top 查看应用CPU占比 类似ps -aux/ps aux/ps -ef

netstat 端口连接状态-antpl
netstat -antpl |grep 22
crontab -l 定时任务
history
cat ~/.bash_history

grep -rn "[1234]"* grep -rn 1234*

查找文本内容包含1234的所有文件

下面是linux系统约定不同类型文件默认的颜色：

白色：表示普通文件
蓝色：表示目录
绿色：表示可执行文件
红色：表示压缩文件
浅蓝色：链接文件
红色闪烁：表示链接的文件有问题
黄色：表示设备文件
灰色：表示其它文件

ls -alt 当前目录排序
ls -l /proc/$PID/exe或file /proc/$PID/exe
（$PID 为异常进程的pid），查看下 pid 所对应的进程文件路径。
运行cat /proc/$PID/cmdline查看进程执行的命令及参数
通过file命令查看恶意程序文件类型，比如：file /tmp/.sh
如果是ELF文件，可以通过strings查看ELF里带的字符串，可能会泄露一些信息，比如 stirngs /tmp/.elf

如果碰到恶意程序被删除，可以通过内存转储的方式从内存中导出恶意程序
从内存拷贝恢复被删除文件
cp /proc/[pid]/exe /tmp/malware.dump

导出进程内存
cat /proc/[pid]/maps
7ff48bb5d000-7ff48bb5e000

gdb --pid [pid]
dump memory /tmp/malware.dump 0x7ff48bb5d000 0x7ff48bb5e000

rmp -Va 校验rmp软件包

find ./ -mtime 0 -name *.php 查找当前目录下，指定天数内修改的指定类型

find ./-ctime 0 -name *.jsp 查找当前目录下，指定天数内新增的指定类型

查看 登录失败的ip
grep "Failed password" /var/log/secure |awk '{print $11}' | sort |uniq -c |sort -nr |more
查看登录成功的ip
grep "Accepted" /var/log/secure |awk '{print $11}' | sort |uniq -c |sort -nr |more

多次登录失败的某一ip存在爆破的可能，若某一ip多次尝试登录，同时又有一个登录成功的选项 即为可能爆破成功

ps -ef |awk '{print}' |sort -n |uniq >1
 
           ps -A |grep defunct

---

Windows:

一、账号安全 （是否有弱口令，远程管理端口是否对公网开放）

1、检查方法：据实际情况咨询相关服务器管理员。

2、检查账号是否存在可疑账号、新增账号

cmd

lusrmgr.msc

3、查看隐藏账户

regedit

HKEY_LOCAL_MACHINE/SAM/SAM

4、结合系统登陆日志，查看管理员登录时间、用户名是否存在异常。

eventvwr.msc

b、导出Windows日志--安全，利用Log Parser进行分析。

（Log Parser分析日志详解：https://blog.csdn.net/zoomla188/article/details/71079645）

二、检查异常端口、进程

1、检查端口连接情况，是否有远程连接、可疑连接。

检查方法：
a、netstat -ano 查看目前的网络连接，定位可疑的ESTABLISHED

b、根据netstat 定位出的pid，再通过tasklist命令进行进程定位 tasklist | findstr “PID”

2、进程
检查方法：

a、开始--运行--输入msinfo32，依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息，

比如进程路径、进程ID、文件创建日期、启动时间等。

b、打开D盾_web查杀工具，进程查看，关注没有签名信息的进程。

c、通过微软官方提供的 Process Explorer 等工具进行排查 。

d、查看可疑的进程及其子进程。可以通过观察以下内容：

没有签名验证信息的进程

没有描述信息的进程

进程的属主

进程的路径是否合法

CPU或内存资源占用长时间过高的进程

三、检查启动项、计划任务、服务

1、检查服务器是否有异常的启动项。

检查方法：
a、登录服务器，单击【开始】>【所有程序】>【启动】，默认情况下此目录在是一个空目录，确认是否有非业务程序在该目录下。

b、单击开始菜单 >【运行】，输入 msconfig，查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。

c、单击【开始】>【运行】，输入 regedit，打开注册表，查看开机启动项是否正常，特别注意如下三个注册表项：

（Windows注册表详解：http://www.freebuf.com/articles/system/142417.html，

https://blog.csdn.net/xin_yu_xin/article/details/46940457）

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

检查右侧是否有启动异常的项目，如有请删除，并建议安装杀毒软件进行病毒查杀，清除残留病毒或木马。

d、利用安全软件查看启动项、开机时间管理等。

e、组策略，运行gpedit.msc。

2、检查计划任务

检查方法：
a、单击【开始】>【设置】>【控制面板】>【任务计划】，查看计划任务属性，便可以发现木马文件的路径。

b、单击【开始】>【运行】；输入 cmd，然后输入at，检查计算机与网络上的其它计算机之间的会话或计划任务， 如有，则确认是否为正常连接。

3、服务自启动

检查方法：单击【开始】>【运行】，输入services.msc，注意服务状态和启动类型，检查是否有异常服务。

四、检查系统相关信息

1、查看系统版本以及补丁信息

检查方法： 单击【开始】>【运行】，输入systeminfo，查看系统信息
2、查找可疑目录及文件

检查方法：
a、 查看用户目录，新建账号会在这个目录生成一个用户目录，查看是否有新建用户目录

Windows2003,XP C:\Documents and Settings

Windows10 C:\Users\

b、单击【开始】>【运行】，输入%UserProfile%\Recent，分析最近打开分析可疑文件。

c、在服务器各个目录，可根据文件夹内文件列表时间进行排序，查找可疑文件。

五、自动化查杀

1、病毒查杀

检查方法：下载安全软件，更新最新病毒库，进行全盘扫描。

2、webshell查杀

检查方法：选择具体站点路径进行webshell查杀，建议使用两款webshell查杀工具同时查杀，可相互补充规则库的不足。

六、日志分析

1、系统日志

分析方法：
a、前提：开启审核策略，若日后系统出现故障、安全事故则可以查看系统的日志文件，排除故障，追查入侵者的信息等。

b、Win+R打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”。

c、导出应用程序日志、安全日志、系统日志，利用Log Parser进行分析。

2、WEB访问日志

分析方法：
a、找到中间件的web日志，打包到本地方便进行分析。

b、推荐工具：Windows下，推荐用 EmEditor 进行日志分析，支持大文本，搜索效率还不错。 Linux下，使用Shell命令组合查询分析

参考（
https://blog.csdn.net/weixin_43781139/article/details/109580138?spm=1001.2014.3001.5501

Windows应急响应（二 蠕虫病毒）
https://blog.csdn.net/weixin_43781139/article/details/109580492?spm=1001.2014.3001.5501

Windows应急响应（三 FTP暴力破解）
https://blog.csdn.net/weixin_43781139/article/details/109580679?spm=1001.2014.3001.5501

Window应急响应（四 勒索病毒）
https://blog.csdn.net/weixin_43781139/article/details/109580853?spm=1001.2014.3001.5501

Windows应急响应（五 挖矿病毒）
https://blog.csdn.net/weixin_43781139/article/details/109581012?spm=1001.2014.3001.5501

Window应急响应（六 ARP病毒）
https://blog.csdn.net/weixin_43781139/article/details/109581425?spm=1001.2014.3001.5501

Window应急响应（七 NesMiner挖矿病毒）
https://blog.csdn.net/weixin_43781139/article/details/109581549?spm=1001.2014.3001.5501）

---

windows具体检查项：

一、检查系统账号安全

1、查看服务器是否有弱口令，远程管理端口是否对公网开放。

2、查看服务器是否存在可疑账号、新增账号。

3、查看服务器是否存在隐藏账号、克隆账号。

4、结合日志，查看管理员登录时间、用户名是否存在异常。

二、检查异常端口、进程

1、检查端口连接情况，是否有远程连接、可疑连接。

2、进程

检查方法：

a、开始--运行--输入msinfo32，依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息，比如进程路径、进程ID、文件创建日期、启动时间等。

b、打开D盾_web查杀工具，进程查看，关注没有签名信息的进程。

c、通过微软官方提供的 Process Explorer 等工具进行排查 。

d、查看可疑的进程及其子进程。可以通过观察以下内容：

没有签名验证信息的进程

没有描述信息的进程

进程的属主

进程的路径是否合法

CPU或内存资源占用长时间过高的进程

3、小技巧：

a、查看端口对应的PID： netstat -ano | findstr “port”

b、查看进程对应的PID：任务管理器--查看--选择列--PID 或者 tasklist | findstr “PID”

c、查看进程对应的程序位置：

任务管理器--选择对应进程--右键打开文件位置

运行输入 wmic，cmd界面 输入 process

d、tasklist /svc 进程--PID--服务

e、查看Windows服务所对应的端口：
%system%/system32/drivers/etc/services（一般%system%就是C:\Windows）

三、检查启动项、计划任务、服务

1、检查服务器是否有异常的启动项。

检查方法：

a、登录服务器，单击【开始】>【所有程序】>【启动】，默认情况下此目录在是一个空目录，确认是否有非业务程序在该目录下。

b、单击开始菜单 >【运行】，输入 msconfig，查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。

c、单击【开始】>【运行】，输入 regedit，打开注册表，查看开机启动项是否正常，特别注意如下三个注册表项： HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce 检查右侧是否有启动异常的项目，如有请删除，并建议安装杀毒软件进行病毒查杀，清除残留病毒或木马。

d、利用安全软件查看启动项、开机时间管理等。

e、组策略，运行gpedit.msc。

2、检查计划任务

检查方法：

a、单击【开始】>【设置】>【控制面板】>【任务计划】，查看计划任务属性，便可以发现木马文件的路径。

b、单击【开始】>【运行】；输入 cmd，然后输入at，检查计算机与网络上的其它计算机之间的会话或计划任务，如有，则确认是否为正常连接。

3、服务自启动
检查方法：单击【开始】>【运行】，输入services.msc，注意服务状态和启动类型，检查是否有异常服务。

四、检查系统相关信息

1、查看系统版本以及补丁信息

检查方法：单击【开始】>【运行】，输入systeminfo，查看系统信息

2、查找可疑目录及文件

检查方法：

a、 查看用户目录，新建账号会在这个目录生成一个用户目录，查看是否有新建用户目录。
Window 2003 C:\Documents and Settings
Window 2008R2 C:\Users\

b、单击【开始】>【运行】，输入%UserProfile%\Recent，分析最近打开分析可疑文件。

c、在服务器各个目录，可根据文件夹内文件列表时间进行排序，查找可疑文件。

五、自动化查杀

病毒查杀

检查方法：下载安全软件，更新最新病毒库，进行全盘扫描。

webshell查杀

检查方法：选择具体站点路径进行webshell查杀，建议使用两款webshell查杀工具同时查杀，可相互补充规则库的不足。

六、日志分析

系统日志

分析方法：

a、前提：开启审核策略，若日后系统出现故障、安全事故则可以查看系统的日志文件，排除故障，追查入侵者的信息等。

b、Win+R打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”。

C、导出应用程序日志、安全日志、系统日志，利用Log Parser进行分析。

WEB访问日志

分析方法：

a、找到中间件的web日志，打包到本地方便进行分析。

b、推荐工具：Window下，推荐用 EmEditor 进行日志分析，支持大文本，搜索效率还不错。

---

Linux入侵排查：

入侵排查思路

一、账号安全

基本使用：

1、用户信息文件/etc/passwd

root:x:0:0:root:/root:/bin/bash

account:password:UID:GID:GECOS:directory:shell

用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后shell

注意：无密码只允许本机登陆，远程不允许登陆

2、影子文件/etc/shadow

root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::

用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留

who 查看当前登录用户（tty本地登陆 pts远程登录）

w 查看系统信息，想知道某一时刻用户的行为

uptime 查看登陆多久、多少用户，负载

入侵排查：

1、查询特权用户特权用户(uid 为0)

awk -F: '$3==0{print $1}' /etc/passwd

2、查询可以远程登录的帐号信息

awk '/\$1|\$6/{print $1}' /etc/shadow

3、除root帐号外，其他帐号是否存在sudo权限。如非管理需要，普通帐号应删除sudo权限

more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)"

4、禁用或删除多余及可疑的帐号

usermod -L user 禁用帐号，帐号无法登录，/etc/shadow第二栏为!开头

userdel user 删除user用户

userdel -r user 将删除user用户，并且将/home目录下的user目录一并删除

二、历史命令

基本使用：

通过.bash_history查看帐号执行过的系统命令

1、root的历史命令

histroy

2、打开/home各帐号目录下的.bash_history，查看普通帐号的历史命令

为历史的命令增加登录的IP地址、执行命令时间等信息：

1）保存1万条命令

sed -i 's/HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile

2）在/etc/profile的文件尾部添加如下行数配置信息：

######jiagu history xianshi#########
    USER_IP=who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'
    if [ "$USER_IP" = "" ]
    then
    USER_IP=hostname
    fi
    export HISTTIMEFORMAT="%F %T $USER_IP whoami "
    shopt -s histappend
    export PROMPT_COMMAND="history -a"
    ######### jiagu history xianshi ##########

3）source /etc/profile让配置生效

生成效果： 1 2018-07-10 19:45:39 192.168.204.1 root source /etc/profile

3、历史操作命令的清除：history -c

但此命令并不会清除保存在文件中的记录，因此需要手动删除.bash_profile文件中的记录。

入侵排查：

进入用户目录下

cat .bash_history >> history.txt

三、端口

使用netstat 网络连接命令，分析可疑端口、IP、PID

netstat -antlp|more

查看下pid所对应的进程文件路径，

运行ls -l /proc/$PID/exe或file /proc/$PID/exe（$PID 为对应的pid 号）

四、进程

使用ps命令，分析进程

ps aux | grep pid

五、开机启动项

基本使用：

系统运行级别示意图：

运行级别 含义

0 关机

1 单用户模式，可以想象为windows的安全模式，主要用于系统修复

2 不完全的命令行模式，不含NFS服务

3 完全的命令行模式，就是标准字符界面

4 系统保留

5 图形模式

6 重启动

查看运行级别命令 runlevel

系统默认允许级别

vi /etc/inittab

id=3：initdefault 系统开机后直接进入哪个运行级别

开机启动配置文件

/etc/rc.local

/etc/rc.d/rc[06].d

例子:当我们需要开机启动自己的脚本时，只需要将可执行脚本丢在/etc/init.d目录下，然后在/etc/rc.d/rc*.d中建立软链接即可
ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100ssh

此处sshd是具体服务的脚本文件，S100ssh是其软链接，S开头代表加载时自启动；如果是K开头的脚本文件，代表运行级别加载时需要关闭的。

入侵排查：

启动项文件： more /etc/rc.local /etc/rc.d/rc[06].d ls -l /etc/rc.d/rc3.d/

六、定时任务

基本使用

1、利用crontab创建计划任务

• 基本命令

crontab -l 列出某个用户cron服务的详细内容

Tips：默认编写的crontab文件会保存在 (/var/spool/cron/用户名 例如: /var/spool/cron/root

crontab -r 删除每个用户cront任务(谨慎：删除所有的计划任务)

crontab -e 使用编辑器编辑当前的crontab文件

如：/1 * echo "hello world" >> /tmp/test.txt 每分钟写入文件

2、利用anacron实现异步定时任务调度

• 使用案例

每天运行 /home/backup.sh脚本： vi /etc/anacrontab @daily 10 example.daily /bin/bash /home/backup.sh

当机器在 backup.sh 期望被运行时是关机的，anacron会在机器开机十分钟之后运行它，而不用再等待 7天。

入侵排查
重点关注以下目录中是否存在恶意脚本
/var/spool/cron/*

/etc/crontab

/etc/cron.d/*

/etc/cron.daily/*

/etc/cron.hourly/*

/etc/cron.monthly/*

/etc/cron.weekly/

/etc/anacrontab

/var/spool/anacron/*

小技巧：
more /etc/cron.daily/* 查看目录下所有文件

七、服务

服务自启动

第一种修改方法：

chkconfig [--level 运行级别] [独立服务名] [on|off]

chkconfig –level 2345 httpd on 开启自启动

chkconfig httpd on （默认level是2345）

第二种修改方法：

修改/etc/rc.d/rc.local 文件

加入 /etc/init.d/httpd start

第三种修改方法：

使用ntsysv命令管理自启动，可以管理独立服务和xinetd服务。

入侵排查

1、查询已安装的服务：

RPM包安装的服务

chkconfig --list 查看服务自启动状态，可以看到所有的RPM包安装的服务

ps aux | grep crond 查看当前服务

系统在3与5级别下的启动项

中文环境

chkconfig --list | grep "3:启用|5:启用"

英文环境

chkconfig --list | grep "3:on|5:on"
源码包安装的服务

查看服务安装位置 ，一般是在/user/local/

service httpd start

搜索/etc/rc.d/init.d/ 查看是否存在

八、系统日志

日志默认存放位置：/var/log/

查看日志配置情况：more /etc/rsyslog.conf

日志文件 说明

/var/log/cron 记录了系统定时任务相关的日志

/var/log/cups 记录打印信息的日志

/var/log/dmesg 记录了系统在开机时内核自检的信息，也可以使用dmesg命令直接查看内核自检信息

/var/log/mailog 记录邮件信息

/var/log/message 记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息，如果系统出现问题时，首先要检查的就应该是这个日志文件

/var/log/btmp 记录错误登录日志，这个文件是二进制文件，不能直接vi查看，而要使用lastb命令查看

/var/log/lastlog 记录系统中所有用户最后一次登录时间的日志，这个文件是二进制文件，不能直接vi，而要使用lastlog命令查看

/var/log/wtmp 永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件，不能直接vi，而需要使用last命令来查看

/var/log/utmp 记录当前已经登录的用户信息，这个文件会随着用户的登录和注销不断变化，只记录当前登录用户的信息。同样这个文件不能直接vi，而要使用w,who,users等命令来查询

/var/log/secure 记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中

日志分析技巧：

1、定位有多少IP在爆破主机的root帐号：

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

定位有哪些IP在爆破：

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

爆破用户名字典是什么？

grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

2、登录成功的IP有哪些：

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

登录成功的日期、用户名、IP：

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

3、增加一个用户kali日志：

Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001
    Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali
    , shell=/bin/bash
    Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali
    #grep "useradd" /var/log/secure

4、删除用户kali日志：

Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'
grep "userdel" /var/log/secure

5、su切换用户：

Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)

sudo授权执行:

sudo -l
Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now