应急响应流程及windows/linux用到的命令_应急响应如何查看进程、端口、服务

应急响应流程：

1、收集信息：搜集客户信息和中毒信息，备份

2、判断类型：判断是否是安全事件、是何种安全事件（勒索病毒、挖矿、断网、ddos等）

3、深入分析：日志分析、进程分析、启动项分析、样本分析

4、清理处置：杀掉恶意进程、删除恶意文件、打补丁、修复文件

5、产出报告：整理并输出完整的安全事件报告

windows应急

一、查看系统账号安全

1、查看服务器是否有弱口令、可疑账号、隐藏账号、克隆账号、远程管理端口是否对公网开放

2、win+r（eventwmr.msc）查看系统日志，查看管理员登录时间、用户名是否存在异常

二、检查异常端口、进程

1、netstat -ano 检查端口连接情况，是否有远程连接、可疑连接

2、tasklist | findstr "PID"根据pid定位进程

3、使用功能查杀工具

三、启动项检查、计划任务、服务

1、检查服务器是否有异常的启动项，msconfig看一下启动项是否有可以的启动

2、检查计划任务，查看计划任务属性，可以发现木马文件的路径

3、见擦汗服务自启动，services.msc注意服务状态和启动类型，检查是否有异常服务

四、检查系统相关信息

1、查看系统版本以及补丁信息 systeminfo

2、查找可以目录及文件 是否有新建用户目录 分析最近打开分析可疑文件（%UserProfile%\Recent）

五、自动化查杀

使用360 火绒剑 webshell后门可以使用d盾 河马等

六、日志分析

360星图日志分析工具 ELK分析平台

linux应急

1、检查用户及密码文件/etc/passwd、/etc/shadow 是否存在多余帐号，主要看一下帐号后面是否是 nologin,如果没有 nologin 就要注意；

2、通过 who 命令查看当前登录用户（tty 本地登陆 pts 远程登录）、w 命令查看系统信息，想知道某一时刻用户的行为、uptime查看登陆多久、多少用户，负载；

3、修改/etc/profile的文件，在尾部添加相应显示间、日期、ip、命令脚本代码，这样输入history命令就会详细显示攻击者 ip、时间历史命令等；

4、用 netstat -antlp|more命令分析可疑端口、IP、PID，查看下 pid 所对应的进程文件路径，运行ls -l /proc/$PID/exe 或 file /proc/$PID/exe（$PID 为对应的pid 号）；

5、使用ps命令，分析进程 ps aux | grep pid

6、使用 vi /etc/inittab 查看系统当前运行级别，通过运行级别找到/etc/rc.d/rc[0~6].d对应目录是否存在可疑文件；

7、看一下crontab定时任务是否存在可疑启用脚本；

8、使用chkconfig --list 查看是否存在可疑服务；

9、通过grep awk命令分析/var/log/secure安全日志里面是否存在攻击痕迹；

10、chkrootkit、rkhunter、Clamav 病毒后门查杀工具对 Linux 系统文件查杀；

11、如果有 Web 站点，可通过 D 盾、河马查杀工具进行查杀或者手工对代码按脚本木马关键字、关键涵数（evel、system、shell_exec、exec、passthru system、popen）进行查杀Webshell 后门。