应急响应事件处置指南_cop，三面腾讯已拿offer

特征：

挖矿病毒会伪装成一个正常文件进入受害者的电脑，利用主机或者操作系统的高危漏洞，并结合高级攻击技术在局域网内传播，控制电脑进行大量的计算机运算来获取虚拟货币。挖矿病毒会导致计算机长时间执行高性能计算，严重占用CPU和内存，致使电脑性能严重下降。

2.1.3 钓鱼程序

特征：

钓鱼程序入侵事件一般发生于针对个人、企业和组织的网络钓鱼攻击。攻击者通常使用社交软件对指定范围的对象发送钓鱼程序，常见手段有发送钓鱼邮件、文件下载链接、社交软件传输文件等，将钓鱼邮件伪装成文档、工具软件等文件，引诱受害者下载运行钓鱼程序，从而获取受害者主机的控制权限。

2.1.4 后门程序

特征：

后门程序是驻留在计算机系统中，其目的是为攻击者在用户不知情的情况下潜入计算机系统中。它会绕过一般保护措施，植入特定的代码，为黑客提供潜入入口，可以在未被授权的情况下访问被植入后门程序的计算机系统。

2.1.5 提权程序

特征：

提权程序分为本地提权、数据库提权和第三方软件提权。大多数计算机系统设计为可与多个用户一起使用，特权升级意味着用户获得他们无权执行的特权。本地提权能以高权限对更多的文件进行「增删改查」操作，收集主机系统中的敏感信息；数据库提权通常是数据库配置缺陷使黑客恶意利用数据库机制达到命令执行的目的；第三方软件提权是利用第三方软件存在的漏洞来进行获取权限的操作。

2.2处置流程

适用范围：勒索病毒、挖矿病毒、钓鱼程序、后门程序、提权程序

2.2.1 异常排查

根据不同的操作系统，选择对应的方式进行系统异常查找，定位恶意程序的名称及位置，并根据服务器的业务系统开放情况，如web系统、数据库系统、操作系统等，对相关系统进行漏洞排查，分析恶意程序的入侵途径，并修复相关系统的漏洞。

2.2.1.1 排查Windows系统异常

（1）检查是否存在异常进程

使用端口查询命令，定位异常外连的进程PID

netstat -ano

根据PID找到对应异常程序名称

tasklist

根据异常程序名称找到其对应的位置

wmic process

（2）检查是否存在恶意服务

通过 sc query 查看windows 服务状态

发现可疑服务，可通过sc qc <服务名>  查看服务的详细内容

（3）检查是否存在恶意文件

查看各盘下的temp有无异常文件(Windows 产生的临时文件)
windows/temp

查看快捷桌面
%UserProfile%\Recent

通过查看文件的修改时间，可以快速定位异常文件

2.2.1.2 排查Linux系统异常

（1）检查是否存在异常进程

使用ps、top、htop等命令查看进程情况

使用netstat端口查询命令，定位异常外连的进程PID

根据PID找到对应异常程序名称

ps aux

根据异常程序名称找到其对应的位置
方法一：ps -ef | grep 进程名

方法二：lsof -p 进程PID

方法三：使用/proc文件系统查看进程文件位置

Linux系统中的/proc文件系统提供了有关系统进程的详细信息。每个进程都在/proc目录下有一个以其PID命名的子目录。进入该子目录后，可以查看进程的文件位置信息。

（2）检查是否存在恶意文件

敏感目录的文件分析（如/tmp目录，命令目录/usr/bin、/usr/sbin等）

着重关注文件权限、文件时间及可疑文件的内容

2.2.1.3 排查SQL Server数据库异常

SQL Server 的 xp_cmdshell 是一个系统存储过程，用于在 SQL Server 实例上执行操作系统级别的命令。它可以被滥用，因为它允许未经检查和限制地执行任意命令，这可能会导致安全风险。要进行 SQL Server xp_cmdshell 入侵检测，可以采取以下步骤：

（1）检查 xp_cmdshell 是否已启用

运行以下查询来检查 xp_cmdshell 是否可用

EXEC sp_configure ‘xp_cmdshell’;

如果返回结果中的 “run_value” 为 0，则表示 xp_cmdshell 已禁用。如果未禁用，请继续下一步。

（2）排查日志文件

定期监视 SQL Server 的错误日志和 Windows 事件日志，以检测任何与 xp_cmdshell 相关的异常记录。

（3）检查是否存在未授权的用户或角色

运行以下查询来查找具有高权限的用户或其他不受信任的用户

SELECT * FROM sys.server_principals;

（4）禁用 xp_cmdshell

如果不需要使用 xp_cmdshell，可将其禁用。通过执行以下语句来禁用：

EXEC sp_configure ‘xp_cmdshell’, 0; RECONFIGURE;

2.2.1.4 排查MySQL数据库异常

MySQL UDF（用户定义函数）是一种允许用户编写自定义函数并将其加载到 MySQL 服务器中的功能。在特定情况下，恶意用户可能滥用 UDF 功能以获取提权或执行未经授权的操作。要进行MySQL UDF入侵检测，可以采取以下步骤：

（1）检查 MySQL 日志

查看 MySQL 的日志文件，通常位于 MySQL 的数据目录下，具体位置可在mysql的配置文件中查看(windows系统名称:my.ini，linux系统名称：my.cnf)。在日志中搜索与 UDF 或插件相关的错误信息，包括加载、安装或使用 UDF 的问题。

（2）检查已安装的 UDF

运行以下 SQL 查询来获取已安装的 UDF 列表

select * from mysql.func;

检查返回的结果是否包含未知或可疑的 UDF。如果存在不明来源的 UDF，可能是一个潜在的后门。

（3）排查mysql 插件目录

运行以下 SQL 查询来获取插件目录

show variables like ‘%plugin_dir%’;

通过排查插件目录寻找可疑文件，如高权限的文件夹和文件、近期创建的可疑文件。

（4）MySQL安全检查

检查用户口令强度

检查 MySQL 的用户和权限设置，确保只有授权的用户能创建UDF函数。

检查MySQL用户的读写权限(secure_file_priv权限)

（5）UDF提权清除

使用 drop function 命令删除恶意UDF函数

删除恶意动态链接库文件

2.2.2 恶意程序分析

通过系统的异常排查定位到恶意程序文件，但仅通过系统层面排查无法确认恶意程序外连信息及操作行为时，则需要使用更为专业的监控工具对恶意程序进一步分析，必要时需要使用反汇编工具对恶意程序进行逆向分析，从而获取恶意程序的操作行为，分析其造成的影响，甚至可以获取到定位攻击者身份的关键信息。

常见分析思路：

1. 静态恶意程序分析

静态恶意程序分析在不主动运行恶意程序代码的情况下查找可能损害系统的文件，使其成为暴露恶意库或打包文件的安全工具。静态恶意程序分析可以发现有关恶意程序性质的线索，例如文件名、哈希、IP 地址、域和文件头数据。可以使用各种工具（例如网络分析器）观察恶意程序。

1. 动态恶意程序分析

动态恶意程序分析使用沙盒，沙盒是一个安全、隔离的虚拟环境，您可以在其中运行可疑的危险代码。安全专业人员可以密切监视沙箱中的恶意程序，而不必担心感染系统或网络的其余部分，从而使他们能够收集有关恶意程序的更多信息。

1. 混合恶意程序分析

混合恶意程序分析结合了静态和动态技术。例如，如果恶意代码对计算机的内存进行更改，则动态分析可以检测到该活动。然后，静态分析可以准确确定进行了哪些更改。

（1）网络行为分析

1. NetLimiter

通过此工具可监测程序的网络通讯信息，以方便进一步分析。

1. CurrPorts

通过此工具可显示本地计算机上所有当前打开的TCP/IP和UDP端口的列表。对于列表中的每个端口，还显示打开该端口的进程的信息，包括进程名称、进程的完整路径、进程的版本信息（产品名称、文件描述等）、进程的创建时间以及创建该进程的用户。此外，CurrPorts允许你关闭不需要的TCP连接，杀死打开端口的进程，并将TCP/UDP端口信息保存到HTML文件、XML文件或以制表符分隔的文本文件中。

（2）程序行为监控分析

1. DiffView

此工具可追踪一个程序在你系统上所做的修改或一些操作进行监控

1. LISTDLLS

“LISTDLLS” 可列出当前运行的 Windows 进程所加载的动态链接库（DLL）信息。这个工具可以在 Windows 操作系统上帮助用户查看正在运行的进程所依赖的 DLL 文件，以及 DLL 的加载地址和状态。

1. Process Explorer

Process Explorer是Windows操作系统的任务管理器的增强版本。Process Explorer提供了更丰富的功能和更详细的信息，用于管理和监视正在运行的进程、线程、以及系统的资源使用情况。

1. Process Monitor

Process Monitor用于在Windows操作系统上监控进程、文件系统、注册表和网络活动。它提供了实时的、详细的日志记录，帮助用户深入了解系统中正在发生的操作和活动。特点是可监控进程写入文件，访问网络，注册表写入等细节。

（3）恶意程序逆向分析

使用监控工具对恶意程序网络行为和操作行为监控没有发现时，可使用相关工具对恶意程序进行逆向分析。通过对程序的逆向分析，可从反汇编的程序代码中获取恶意程序的外连信息、操作行为逻辑等，甚至可以获取确认攻击者身份的关键信息。逆向分析需要使用反编译工具，如IDA Pro、x64dbg等，Linux平台可使用objdump。

1. x64dbg

x64dbg是一款功能强大的动态反汇编调试器，它能够在windows平台上进行应用程序的反汇编、调试和分析工作。

1. objdump

objdump命令是Linux下的反汇编目标文件或者可执行文件的命令，它以一种可阅读的格式让你更多地了解二进制文件可能带有的附加信息。

常用参数说明：

-f 显示文件头信息

-D 反汇编所有section (-d反汇编特定section)

-h 显示目标文件各个section的头部摘要信息

-x 显示所有可用的头信息，包括符号表、重定位入口。-x 等价于 -a -f -h -r -t 同时指定。

-i 显示对于 -b 或者 -m 选项可用的架构和目标格式列表。

-r 显示文件的重定位入口。如果和-d或者-D一起使用，重定位部分以反汇编后的格式显示出来。

-R 显示文件的动态重定位入口，仅仅对于动态目标文件有意义，比如某些共享库。

-S 尽可能反汇编出源代码，尤其当编译的时候指定了-g这种调试参数时，效果比较明显。隐含了-d参数。

-t 显示文件的符号表入口。类似于nm -s提供的信息

2.2.3 恶意程序清除

根据对服务器的安全排查找到恶意程序之后，需要对恶意程序进行清除。

1**）** 直接删除恶意程序

排查定位到恶意程序的位置，根据恶意程序执行逻辑删除恶意程序及其衍生文件。

2**）** 杀毒扫描工具查杀

使用杀毒软件、GScan等工具，自动查杀恶意程序。该方法适用于特征明显的恶意程序，对于特征隐藏的免杀恶意程序，则需要人工排查定位恶意程序进行清除。

Windows平台可使用Windows Defender安全软件查杀。

Linux平台可使用GScan工具进行主机安全扫描：

2.2.4 漏洞修复及其他异常处置

（1）检查相关业务系统（RDP、SSH、FTP等）是否存在弱口令账号，确认是否存在账号异常登录情况，修改弱口令，并对非必要对外开放的系统进行远程访问限制。

（2）查看系统补丁信息，根据当前系统补丁情况，确认是否存在未修复的系统漏洞

（3）检查第三方软件漏洞，如果服务器内有运行对外应用软件（WEB、FTP 等），可通过官方公布的漏洞情况及补丁自查相关软件是否存在漏洞。

3 其他类型后门处置流程

当发生安全事件并完成对Webshell、恶意程序的处置工作之后，为了避免攻击者通过其他形式在系统中留下后门，还需要对服务器进行安全检查。

3.1 Windows系统

3.1.1 查看计划任务

compmgmt.msc

排查是否存在恶意的计划任务并执行删除动作，若关联了恶意脚本则同步清除。

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

本人从事网路安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。

最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。

最后，我将这部分内容融会贯通成了一套282G的网络安全资料包，所有类目条理清晰，知识点层层递进，需要的小伙伴可以点击下方小卡片领取哦！下面就开始进入正题，如何从一个萌新一步一步进入网络安全行业。

学习路线图

其中最为瞩目也是最为基础的就是网络安全学习路线图，这里我给大家分享一份打磨了3个月，已经更新到4.0版本的网络安全学习路线图。

相比起繁琐的文字，还是生动的视频教程更加适合零基础的同学们学习，这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。

网络安全工具箱

当然，当你入门之后，仅仅是视频教程已经不能满足你的需求了，你肯定需要学习各种工具的使用以及大量的实战项目，这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。

项目实战

最后就是项目实战，这里带来的是SRC资料&HW资料，毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底，我们的最终目的都是为了就业，所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过！

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

g_convert/1ddfaf7dc5879b1120e31fafa1ad4dc7.jpeg)

网络安全工具箱

当然，当你入门之后，仅仅是视频教程已经不能满足你的需求了，你肯定需要学习各种工具的使用以及大量的实战项目，这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。

项目实战

最后就是项目实战，这里带来的是SRC资料&HW资料，毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底，我们的最终目的都是为了就业，所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过！

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-VBvg5yjP-1712803542899)]