实训第十一天

作业

1.总结应急响应流程

即，预案，研判，遏止，取证，溯源，恢复等。

预案

预案需要提前制定，确定事件处理的方向和目标，明确各部门和人员的职责、行动步骤和沟通机制。在发生安全事件时，根据对事件的评估，选择合适的预案进行处理，能最大限度地减少损失和影响。

研判

收集信息，对网络安全事件进行分析、判断和评估。

• 分析事件性质，黑客攻击、病毒感染、漏洞利用、数据泄露还是其他类型的网络安全问题？
• 判断事件对网络系统、业务运行、数据安全等方面的影响程度、影响范围
• 推测攻击来源和目的
• 检查当前网络安全防护体系在事件中的表现，是否是有效的以及是否还有不足？

遏止

通过各种技术手段和策略，迅速阻止网络安全事件的进一步恶化和扩散。

• 通过切断攻击源：关闭受攻击的网络端口、阻断可疑的 IP 地址访问等，防止攻击者继续入侵
• 将被攻击的系统设备从网络中隔离出来
• 限制用户权限
• 停止正在被攻击利用服务

取证

收集、保存和分析与网络安全事件相关的证据，以便后续的调查、定责等。

• 收集证据，包括系统、网络流量数据、内存数据以及存储设备数据等。
• 证据保存，涉及原始数据保存、建立完整证据链、将证据存储在安全的环境中。
• 证据分析，重建事件发生过程、分析存在的恶意软件等

溯源

对攻击的来源进行追踪和查找。

• 确定攻击路径
• 追踪攻击所使用的IP地址
• 恶意软件的来源以及器开发者信息等
• 了解攻击者进行攻击的动机

恢复

将受影响的系统、服务和数据恢复到正常运行状态

• 识别导致安全事件的原因，并修复相关漏洞。
• 更新和打补丁以防止未来的攻击。
• 从备份中恢复被破坏或丢失的数据。

2.总结应急响应措施及相关操作

1. 检查系统和网络

• 分析防火墙日志、入侵检测系统日志。
• 查看任务管理器中的进程和服务。
• 检查系统启动项、计划任务。

2. 病毒和恶意软件扫描

3. 审查用户账户和权限

• 检查异常用户账户的创建和活动。
• 重置可疑账户的密码。

4. 分析事件相关的 ID 和日志

应急响应——知识点

（win,linux,web）

3W1H原则：3W即Who、What、Why,1H即How,网络拓扑是怎么样的？需求是啥？发生了什么事？你能做什么？用户用了什么产品？产品版本多少？病毒库版本多少？多少主机中了？主机是普通PC还是服务器？服务器是做什么的？…信息收集越多，对应急响应越有利。

易失性原则：信息收集和取证时，一定要有先后顺序。即最容易丢失的据，应该最先收集，其它的依次类推。

要素原则：抓关键证据，即要素，这些要素包括样本、流量、日志、进程及模块、内存、启动项。

避害原则：趋利避害，不能问题还没有解决，反而引入了新的问题

应急响应流程——windows

（无固定顺序，只是检查点）

无文件落地和文件落地

文件落地攻击

攻击者将恶意文件（如木马、病毒或其他恶意软件）上传到目标系统中，造成文件在受害者的存储空间中“落地”。

• 例子：上传一个带有反向 shell 的 PHP 文件到网站服务器，攻击者随后通过 HTTP 请求触发该文件，获取对服务器的控制。

无文件落地攻击

攻击者通过利用现有的应用程序漏洞或配置不当，直接在内存中执行恶意代码，而不需要在磁盘上留下任何可见的恶意文件。

• 例子：利用 SQL 注入漏洞，直接在数据库中执行恶意查询，而不生成任何可见的文件。

linux

• 检查网络连接（netstat -anltp）
• 查看进程以及PID（ps -aux）
• 文件排查（注意隐藏文件）
• 日志排查（/var/log）

工具

1、沙箱：

• 微步在线：https://s.threatbook.com/
• VT：https://www.virustotal.com/gui/home/upload

2、综合分析工具: 火绒剑、OpenArk

3、查杀工具： D盾、河马

日志访问技巧

1、列出当天访问次数最多的IP命令：
cut -d- -f 1 log_file|uniq -c | sort -rn | head -20

2、查看当天有多少个IP访问：
awk '{print $1}' log_file|sort|uniq|wc -l

3、查看某一个页面被访问的次数：
grep "/index.php" log_file | wc -l

4、查看每一个IP访问了多少个页面：
awk '{++S[$1]} END {for (a in S) print a,S[a]}' log_file

5、将每个IP访问的页面数进行从小到大排序：
awk '{++S[$1]} END {for (a in S) print S[a],a}' log_file | sort -n

6、查看某一个IP访问了哪些页面：
grep ^111.111.111.111 log_file| awk '{print $1,$7}'

7、去掉搜索引擎统计当天的页面：
awk '{print $12,$1}' log_file | grep ^\"Mozilla | awk '{print $2}' |sort | uniq | wc -l

8、查看2018年6月21日14时这一个小时内有多少IP访问:
awk '{print $4,$1}' log_file | grep 21/Jun/2018:14 | awk '{print $2}'| sort | uniq | wc -l