常见的应急响应_应急响应事件

常见的应急响应事件分类：

web入侵---网页挂马，主页篡改，webshell

系统入侵---病毒木马，勒索软件，远程后门

网络攻击----DDOs攻击，DNS劫持，ARP欺骗

一、Windows 入侵排查 

排查思路：

1、 检查系统账户安全---弱口令，可疑账号，新增账号，隐藏账号，克隆账号

                net user  查看可疑账户

                lusrmgr.msc  检查管理员组是否有新增账号等

                 regedit     查看注册表\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 下是否有影子账户

                 查看管理员组账户键值是否有重复

                 或者 D盾_web查杀工具检查

               【隐藏共享方法：共享名后面加$】

2、 结合日志，查看管理员登录时间、用户是否存在异常

                   windows---eventvwr.msc 导出Windows日志--安全，利用Log Parser进行分析。

                   linux---cd logs

3、 检查异常端口      netstat -anbo  查看网络连接

                                   msinfo32命令---软件环境---正在运行任务      查看进行

                           D盾---查看进程，关注没有签名信息的进程

                           通过下载微软官方的process explorer 进行排查，关注没有签名信息、描述信息、进程属主、进程路径等信息

                           tasklist/svc  进程---PID---服务

                          【win--- C:\Windows\System32\drivers\etc\services  ; linux---etc\services】下查看服务和端口的对应关系

4、 检查启动项，计划任务，服务

                     msconfig---启动---打开任务管理器---查看命名异常的启动目录

                     regedit---打开注册表\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

                                                      \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

                                                      查看右侧是否有异常的启动项，如果有请删除，并用杀毒软件进行病毒查杀

                      gpedit---计算机配置---windows设置---

                      schtasks.exe   查看计划任务

5、 检查系统相关信息---systeminfo命令查看

                              回收站、浏览器下载记录、浏览历史等

                              web中间件的日志

病毒分析工具

PCHunter：http://www.xuetr.com

火绒剑：https://www.huorong.cn

Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

processhacker：https://processhacker.sourceforge.io/downloads.php

autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL：https://www.bleepingcomputer.com/download/otl/

SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector

病毒查杀

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe （推荐理由：绿色版、最新病毒库）

大蜘蛛：http://free.drweb.ru/download+cureit+free（推荐理由：扫描快、一次下载只能用1周，更新病毒库）

火绒安全软件：https://www.huorong.cn

360杀毒：http://sd.360.cn/download_center.html 

在线病毒网站                

CVERC-国家计算机病毒应急处理中心：http://www.cverc.org.cn

微步在线威胁情报社区：https://x.threatbook.cn

火绒安全论坛：http://bbs.huorong.cn/forum-59-1.html

爱毒霸社区：http://bbs.duba.net

腾讯电脑管家：http://bbs.guanjia.qq.com/forum-2-1.html

在线病毒扫描

http://www.virscan.org             //多引擎在线病毒扫描网 v1.02，当前支持 41 款杀毒引擎

https://habo.qq.com                //腾讯哈勃分析系统

https://virusscan.jotti.org        //Jotti恶意软件扫描系统

http://www.scanvir.com          //针对计算机病毒、手机病毒、可疑文件等进行检测分析

 webshell查杀

D盾_Web查杀：http://www.d99net.net/index.asp

河马webshell查杀：http://www.shellpub.com

深信服Webshell网站后门检测工具：http://edr.sangfor.com.cn/backdoor_detection.html

Safe3：http://www.uusec.com/webshell.zip

 

 

二、Linux入侵排查

 

排查思路

账号安全---用户信息文件  /etc/passwd   ---  查询特权用户 awk -F

                      影子文件  /etc/shadow  ---  查询可以远程登录的账号信息  awk

                 除root外，其它账户是否存在sudo权限

                 禁用或删除多余的可以账户---usermod -L user  或者  userdel user  或者 userdel -r user

历史命令 --- cat  .bash_history 下的 history.txt

检查异常端口 ---netstat -antlp|more  运行 ls -l /proc/$PID/exe 或者 file/proc/$PID/exe  查看所运行的进程文件路径

检查异常进程 --- ps aux | grep pid

检查开机启动项---runlevel 查看系统运行级别

                             vi /etc/inittab

                             id=3: initdefault   修改系统开机后直接进入的运行级别

                             建立开机启动自己的脚本的软连接 ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/s100ssh

检查定时任务 ---  crontab -l  列出cron服务的详细任务

                          Tips默认crontab文件会保存在/var/spool/cron/用户名

                          crontab -r 删除每个用户cron任务

                          crontab -e 使用编辑器编辑当前的cron文件

                          vi /etc/anacrontab @daily 10 example.daily /bin/bash /home/backup.sh   实现异步定时任务调度

                          关注以下目录是否存在恶意脚本：

                         

             

检查服务  

  方法一

   方法二

   方法三                              

 使用ntsysv命令管理自启动，可以管理独立服务和xinetd服务 

 chkconfig --list    查看服务自启动状态，RPM包安装的服务

 ps aux | grep crond   查看当前服务   

 /user/local/ 下查看源码包安装的的服务

 service httpd start

 /etc/rc.d/init.d   查看是否存在

检查异常文件 --- 查看敏感目录，如/tmp目录下的文件

 注意隐藏文件夹，以 .. 为名的文件

  find /opt -iname "*" -atime 1 -type f  找出一天前访问过的文件

 针对可疑文件可以使用stat进行创建修改时间

检查系统日志 --- /var/log/   日志默认的存放位置

  more /etc/rsyslog.conf     查看日志配置情况

  

日志分析技巧：

 

                                    

 

 

工具

rootkit查杀  ---   chkrootkit                  网址：http://www.chkrootkit.org

                      

                       

                         Rkhunter                       网址：http://rkhunter.sourceforge.net

 

 

 

病毒查杀Clamav   ClamAV的官方下载地址为：http://www.clamav.net/download.html

                   

 

                                  或者                         

 

webshell查杀    

             河马webshell查杀：http://www.shellpub.com

             深信服Webshell网站后门检测工具：http://edr.sangfor.com.cn/backdoor_detection.html

 

RPMcheck检查

              ./rpm -Va > rpm.log    检查所有的rpm软件包，查看哪些命令是否被替换了

 

Linux安全检查脚本         

             Github项目地址：

             https://github.com/grayddq/GScan

             https://github.com/ppabc/security_check

             https://github.com/T0xst/linux

 

三、发现隐藏后门

      1、最好的方式就是做文件完整性验证。

      2、我们可以将所有网站文件计算一次hash值保存，当出现应急情况时，重新计算一次hash值，并与上次保存的hash值进行对比，从而输出新创建的、修改过及删除的文件列表。

                下载地址：http://www.d99net.net/down/WebShellKill_V2.0.9.zip

                文件MD5：29285decadbce3918a4f8429ec33df46 WebShellKill.exe

       3、在linux中，我们经常使用diff来比较两个文本文件的差异。同样，我们可以通过一行命令快速找出两个项目文件的差异： 

            diff -c -a -r cms1 cms2