网络安全应急响应(归纳)(1)

/etc/cron命令。
/etc/crontab
/etc/cron.d/
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab

其它

windows防火墙的入站规则和出站规则 netsh ：查看 netsh firewall show
state:显示当前防火墙的网络配置状态

进程排查

是计算机中的程序关于某数据结合的一次运行活动，是系统进行资源分配和调度的基本单位，是操作系统结构的基础。主机在感染恶意程序后，恶意程序都会启动相应的进程，来完成相关的恶意操作，有的恶意进程为了不被查杀，还会启动相应的守护进程来对恶意进程进行守护。

Windows

通过任务管理器查看； tasklist：可显示计算机中的所有进程，可查看进程的映像名称、PID、会话等信息； tasklist
/svc：可以显示每个进程和服务对应的情况； tasklist /m：查询加载的DLL tasklist /m wmiutils.dll
:查询特定dll的调用情况 tasklist /svc /fi “pid eq
284”：过滤器功能，eq等于、nq不等于、gt大于、lt小于、ge大于等于、le小于等于、

netstat：可显示网络连接的信息，包括活动的TCP连接、路由器和网络接口信息，是一个监控TCP/IP网络的工具。
端口定位程序：通过netstat定位处PID，然后用tasklist查看具体的程序，例如：netstat -ano |findstr
“3306” 定位出pid=6616 tasklist |find “6616” netstat -anb
3306：端口快速定位程序，需要管理员权限； powershell排查：对于有守护进程的进程，许确认子父进程之间的关系
get-wmiobject win32_process | select
name,processid,parentprocessid,path
wmic命令查询：可对进程进行查询以csv格式来显示进程名称、父进程id、进程id wmic process get
name,parentprocessid,processid/format:csv

Linux

netstat:分析可以端口、分析可疑ip地址、可疑pid及程序进程； ls -alt
/proc/PID：查看PID为600的进程可执行程序； lsof -p PID:查看进程所打开的文件； kill -9 PID：结束进程；
rm -rf filename ：删除名为filename的文件；
如果root用户都无法删除相关文件，可能是因为该文件被加上了i属性，使用lsattr filename 查看文件属性，然后用chattr
-i filename 可移除i属性，进而删除文件。也有因为进程存在守护进程而无法被删除，可先将进程挂起，查杀守护进程后，再返回将进程删除。补充：chattr +i
filename 加i属性。 查看隐藏进程：顺序执行以下三条命令
ps -ef | awk ‘{print}’|sort -n |uniq>1
ls /proc |sort -n |uniq>2
diff 1 2 top：可用于挖矿进程排查，显示占用率较高的进程。

服务排查

服务可以理解为运行在后台的进程，服务可以在计算机启动时自动启动，也可暂停和重启，而且不显示任何用户界面，服务非常适合在服务器上使用，通常在为了不影响在同一天计算机上工作的其它用户，且需要长时间运行功能时使用。在应急响应中，服务作为一种运行在后台的进程，是恶意软件常用的驻留方法。

Windows

services.msc：打开服务窗口，查看所有的服务项，包括服务的名称、描述、状态等。

Linux

chkconfig --list：可查看系统运行的服务；
service --status-all：可查看所有服务的状态；

文件痕迹排查

恶意软件、木马、后门都会在文件维度上留下痕迹，排查思路：

对恶意软件常用的敏感路径进行排查；
在确定了应急响应事件的时间点后，对时间点前后的文件进行排查；
对带有特征的恶意软件进行排查，包括代码关键字或关键函数、文件权限特征。

Windows

敏感目录
各个盘下的temp(tmp)相关目录，有些恶意程序释放字体(即恶意程序运行时投放出的文件)一般会在程序中写好投放的路径，由于不同系统版本的路径有所差别，但临时文件的路径相对统一，因此在程序中写好的路径一般是临时路径；

查看浏览器历史记录、下载文件和cookie信息：攻击者可能会下载一些后续攻击工具；

查看用户Recent文件：存储最近运行文件的快捷方式，一般在windows中的路径为： C:\Document and
Settings\Administrator(系统用户名)\Recent C:\Document and Settings\Default
User\Recent
Prefetch：预读取文件夹，存放系统已经访问过的文件的读取信息，扩展名为pf，可加快系统启动进程，启动：%systemroot%\prefetch
amcache.hve:可查看应用程序执行路径、上次执行时间及sha1值。启动：%systemroot%\appcompat\programs
时间点查找 forfiles 攻击者可能会对时间动手脚 webshell
D盾、HwsKill、WebshellKill等工具对目录下的文件进行规则查询，

Linux

敏感目录 /tmp、 /usr/bin、 /usr/sbin：经常作为恶意软件下载目录及相关文件被替换的目录；
~/.ssh、/etc/ssh：经常作为后门配置的路径

时间点查找 find：可对某一时间段内增加的文件进行查找；
stat：对文件的创建时间、修改时间、访问时间进行排查；

特殊文件
查找777权限的文件：find /tmp -perm 777

webshell查找
初筛：find /var/www/ -name “*.php”
工具：findWebshell、Scan_Webshell.py扫描排查

对系统命令进行排查
ls、ps可能被攻击者替换，ls -alt /bin 查看命令目录中的系统命令的修改时间进行排查；
ls -alh /bin：查看相关文件大小，若明显偏大，则文件很可能被替换；

linux后门检测
工具:chkrootkit（出现infected说明有后门）、rkhunter 排查suid程序
find /-type f -perm -04000 -ls -uid 0 2 >/dev/null

日志排查

Windows：在运行对话框中输入eventvwr，打开事件查看器窗口，可查看windows相关日志。

系统日志：%SystemRoot%\System32\Winevt\Logs\System.evtx 系统中的各个组件在运行中产生的各种事件

安全性日志:%SystemRoot%\System32\Winevt\Logs\security.evtx
记录各种安全相关的事件，登录操作、对系统文件进行创建、删除、更改等操作。

应用程序日志：%SystemRoot%\System32\Winevt\Logs\Application.evtx

日志常用事件id 4624：登陆成功 4625：登录失败

日志分析
日志筛选器进行分析
PowerShell分析 Get-WinEvent Get-WinEvent Security -InstanceId 4625:获取安全性日志下事件id为4625的所有日志信息。
使用工具

Linux

日志概述
linux系统日志一般在/var/log/下

/var/log/wtmp：记录登录进入、退出、数据交换、关机和重启，及last
/var/log/cron：记录与定时任务相关的日志信息；
/var/log/message:记录系统启动后的信息和错误日志；
/var/log/apache2/access.log：记录apache的访问日志；
/var/log/auth.log：记录系统授权信息，包括用户登录和使用的权限机制等；
…
日志分析
…
其它日志
除了windows、linux系统日志分析外，还有Web日志、中间件日志、数据库日志、FTP日志等进行分析。

IIS日志
%systemdrive%\inetpub\logs\logfiles
%systemroot%\system32\logfiles\w3svc1

…

Apache日志
/var/log/httpd/access.log
/var/log/apache/access.log
/var/log/apache2/access.log
/var/log/httpd-access.log

Nginx日志
默认在/usr/local/nginx/logs目录下，access.log代表访问日志，error.log代表错误日志。若没在默认路径下，则可到nginx.conf配置文件中查找。

Tomcat日志 tomcat/log下 Vsftp日志
/var/log/messages 可通过编辑/etc/vsftp/vsftp.conf配置文件来启用单独的日志，启用后，可访问vsftp.log和xferlog。

Weblogic日志
有三种日志：access log、 server log 、 domain log。

数据库日志

			Oracle
				select * from v$logfile：查询日志命令，默认在$ORACLE/rdbms/log目录下，
				select * from v$sql：可查询之前使用的sql；
			Mysql
				默认路径：/var/log/mysql/
				可查看日志是否开启：show variables like 'general';
				开启日志：set global general_log = 'ON';
			Mssql
				一般无法查看，需要登录到SQL Server Management Studio,在管理——SQL Server日志 中查看。

内存分析

流量分析

ip.addrip：对指定ip地址进行过滤；
ip.srcip：对指定的源ip地址进行过滤；
直接输入http、https、smtp、arp等协议进行筛选；
top.port端口号或tcp.port端口号对端口进行过滤；
tcp contains stings ：对数据包中的关键字进行检索。

威胁情报

三、工具

四、场景

1、勒索病毒网络安全应急响应

1、常见勒索病毒
WannaCry勒索病毒、GlobeImposter勒索病毒、Crysis/Dharma勒索病毒、GandCrab勒索病毒、Satan勒索病毒、Sacrab勒索病毒、Matrix勒索病毒、Stop勒索病毒、Paradise勒索病毒
2、常规处置方法
隔离被感染的服务器、主机
防止勒索病毒通过网络继续感染其它服务器、主机，防止攻击者通过感染的服务器/主机继续操纵其它设备
措施：
物理隔离：断网、断电，关闭服务器/主机的无线网络、蓝牙连接等，禁用网卡，并拔掉服务器/主机上的外部存储设备；
访问控制：对访问网络资源的权限进行严格控制和认证，加策略和修改登录密码；
排查业务系统
检查核心业务系统和备份系统，确定感染范围。
确定勒索病毒种类，进行溯源分析
从加密的磁盘中寻找勒索信息，再通过勒索病毒处置工具查看是否可以解密；
溯源分析：查看服务器/主机上的日志和样本，可疑文件，工具进行日志和样本分析；
恢复数据和业务
备份数据恢复业务
磁盘数据恢复
第三方方安全公司
后续防护建议
服务器终端防护
强密码、杀毒软件、打补丁、开启日志收集；
网络防护与安全监测
内网安全域合理划分，限制横向移动范围；
应用系统防护及数据备份
加固、备份、预案；
3、错误处置方法
不要再中毒服务器/主机上插U盘、硬盘等移动存储设备：勒索病毒会对服务器/主机上的所有文件加密；
不要用网上的解密工具反复读/写磁盘中的文件，可能降低数据正确恢复的概率，也可能破坏原始文件；
4、工具
被攻击之后，确定勒索病毒种类，判断能否解密
奇安信勒索病毒搜索引擎：lesuobingdu.qianxin.com
360安全卫士勒索病毒搜索引擎：lesuobingdu.360.cn
5、勒索病毒应急思路
了解事态现状、系统架构、感染时间、确定感染面；
对已中招服务器/主机下线隔离；
未中招做好防护：关闭端口加固、补丁等等
对服务器/主机进行检查：
系统排查
账户排查
Windows
打开本地用户与组：lusrmgr.msc
查看所有用户：wmic useraccount get name,sid
Linux
cat /etc/passwd ：查看所有用户信息
awk -F: ‘{if($3==0)print KaTeX parse error: Expected ‘EOF’, got ‘}’ at position 2: 1}̲’ /etc/passwd ：…"：可查看能够登录的账户
进程排查
Windows
tasklist或任务管理器
Linux
网络连接：netstat -ano
任务计划：
服务：
启动项：
文件排查：
补丁排查：
日志排查
系统日志
安全日志
安全日志是否有暴力破解记录，异常ip地址登录记录，溯源，定位攻击的突破口；
网络流量排查
清除加固
对服务器/主机进行抑制和恢复：对恶意账号、进程、任务计划、启动项、服务等进行清理，删除恶意样本、打补丁、强密码、安装杀毒软件、部署流量检测设备。
6、如何判断遭遇勒索病毒攻击？
业务系统无法访问；
文件后缀被篡改；
勒索信展示；
桌面上有新的文本文件；
7、了解勒索病毒的加密时间
推断攻击者执行勒索程序的时间轴，方便后续进行溯源。
Windows
通过文件修改日期初步判断(要综合判断，因为攻击者可能伪造时间)
Linux
stat：可查看Access访问、Modify内容修改、Change属性改变三个时间

2、挖矿木马网络安全应急响应

1、挖矿木马：利用计算机的算力挖掘数字货币。
2、常见挖矿木马：WannaMine、Mykings(隐匿者)、Bulehero、8220Miner、匿影、DDG、h2Miner、MinerGuard、Kworkerds、Watchdogs。
3、挖矿木马的传播方法
漏洞传播
弱密码暴力破解传播
僵尸网络
无文件攻击方法
网页挂马
软件供应链攻击
社交软件、邮箱
4、挖矿木马利用漏洞
弱密码

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！