应急流程

最新推荐文章于 2024-04-16 17:41:31 发布
最新推荐文章于 2024-04-16 17:41:31 发布
阅读量309 收藏
点赞数
文章标签: shell 操作系统 数据库
原文链接:http://blog.51cto.com/865516915/2427740
版权

应急流程

应急响应

PDCERF模型
P (Preparation准备) 应急工具:ls ifconfig ps top (busybox,webshell,病毒查杀)
D(Detection诊断) 类型: 挖矿(cpu过高),dos,
C(Containment抑制) 阻断:减小范围
E(Eradication根除) 寻找根源 如何进来的?利用了哪些漏洞?在服务器做了什么? 清楚后门
R(Recovery恢复) 恢复上线
F(follow-up跟踪) 进一步跟踪 应急报告,自省和高进措施

应急工具

BusyBox
BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件。

运维人员开始top、ps等未查找到异常进程是由于该病毒涉及到 Linux动态链接库预加载机制,是一种常用的进程隐藏方法,而系统的ls,ps等命令已被通过so库的preload机制被病毒劫持。

而busybox是静态编译的,不依赖于系统的动态链接库,从而不受ld.so.preload的劫持,能够正常操作文件。

BusyBox下载

cd /bin/
wget https://busybox.net/downloads/binaries/1.30.0-i686/busybox
chmod 755 busybox

使用:busybox top

用什么工具来判断后门?
Chkrootkit
Rkhunter
查杀:cleamav

WebShell查杀
D盾查杀
http://www.d99net.net/News.asp?id=62

windows

链接: https://pan.baidu.com/s/150igm97zH9PkiF9Gmm1aCg
提取码: 2xd4

应急响应-3 检测步骤

应急响应检测

事件分类
时间分类也就是初步判断什么安全事件,是服务器cpu过高还是出现陌生用户名等
Web***:挂马、篡改、Webshell
系统***:系统异常、RDP爆破、SSH爆破、主机漏洞病毒
***:远控、后门
勒索软件信息泄漏:拖裤、数据库登录(弱口令)
网络流量:频繁发包、批量请求、DDOS***

阻断
iptables-save >/root/iptables.bak ##备份系统的的 iptables文件
iptables -F
iptables -A INPUT -s 允许登录IP -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -d 允许登录IP -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
iptables -A OUTPUT -j DROP

常用后面技术
增加超级用户帐号
破解/嗅控用户密码
放置SUID Shell
利用系统服务程序
TCP/UDP/ICMP Shell
Crontab定时任务
共享库文件
工具包rootkit
可装载内枋模块(LKM)

  1. 检查系统用户
  2. 检查异常进程
  3. 检查异常系统文件
  4. 检查网络
  5. 检查计划任务
  6. 检查系统命令
  7. 检查系统日志
  8. 检查WebShell
  9. 检查系统后门
bozhubing0375
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【安全服务】应急响应1:流程、排查与分析
kkza的博客
09-08 1万+
一、应急响应流程 应急响应分为六个阶段,分别是 准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结 这种划分方法也称PDCERF方法 实际上,应急响应并不是严格遵从这个方法的,大多数情况都要具体问题具体分析 1 准备阶段 以预防为主,主要是要进行风险评估等工作,包括建立信息安全管理体系、部署安全设备和安装防护软件、建立应急响应和演练制度等等。 2 检测阶段 这个阶段是在安全事件发生后的,主要是判断安全事件是否还在发生,安全事件产生的原因,对业务的危害程度以及预计如何处理。 ..
服务器故障应急流程.docx
09-17
"服务器故障应急流程" 服务器故障应急流程是企业确保业务连续性和数据安全的关键步骤。服务器作为存储、处理和传输数据的核心设备,对于企业来说具有至关重要的作用。然而,由于各种原因,服务器故障时有发生。为了...
一次服务器被攻击的应急行动
weixin_34310127的博客
09-18 241
本文讲的是一次服务器被攻击的应急行动, 如果你的PHP服务器被黑客入侵时该怎么办?这是我最近处理linux web服务器发现的一个问题。PHP服务器被黑时,会出现新的PHP文件,这与运行在服务器上的wordpress应用程序和特定的用户代理没有任何关系,所有的流量都被重定向到另一个站点。 应急准备 在第一次被攻击之后,我已经禁用了所有他所检测到的恶意...
护网行动 | 蓝队应急响应流程概述
最新发布
weixin_56233402的博客
04-16 1335
回顾并整合应急响应过程的相关信息,进行时候分析总结和修订安全计划、政策、程序、并进行训练,防止入侵的再次发生事件会议总结、响应报告输出、响应工作优化。
应急响应-PDCERF 方法03
战神/calmness的博客
02-09 6306
PDCERF方法最早于1987年提出,该方法将应急响应流程分成准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。根据应急响应总体策略为每个阶段定义适当的目的,明确响应顺序和过程。但是,PDCERF方法不是安全事件应急响应的唯一方法。在实际应急响应过程中,不一定严格存在这6个阶段,也不一定严格按照这6个阶段的顺序进行。但它是目前适用性较强的应急响应通用方法。 准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结 1)准备阶段 准备阶段以预防为主。主要工作涉及识别机构、企业的风险..
应急响应流程
wj193165zl的博客
08-11 6206
应急响应PDCERF模型: P(PreParation准备) D(Detection诊断) C(Containment抑制) E(Eradication根除) R(Recovery恢复) F(follow-up跟踪) 在发现服务器入侵的时候,我们需要使用以上的流程进行排查: PreParation准备:如果系统被入侵了,一般不建议采用系统自带的应用工具(ls,ifconfig,ps,...
浅谈我所理解的应急响应流程
weixin_39789796的博客
05-14 522
序言 ​ 最近一直在做应急响应方面的总结,把自己之前的应急响应经验整理归档。应急响应基础流程,基本上已经完工。细节部分还在完善,现在就将整体框架拿出来做个简单分享。本文完全是笔者结合相关材料,基于多年应急响应经验进行总结整合形成,和国内指导性文件有部分差异性。 应急响应 随着国家信息化建设进程的加速,计算机信息系统和网络已经成为重要的基础设施。随着网络安全组件的不断增多,网络边界不断扩大,网络安全管理的难度日趋增大,各种潜在的网络信息危险因素与日俱增。虽然网络安全的保障技术也在快速发展,但实践证明,现实中再
服务器故障应急流程.doc
06-25
服务器故障应急流程 目的及总的原则: 为保证公司业务的正常运行,避免和减少公司各服务器出现严重问题,在出现问题时能 根据本方案及以前的备份资料迅速及时恢复系统的正常运行;保证公司数据的完整性, 并可随时...
windows 应急流程及实战演练1
08-03
1、 查 看 服 务 器 是 否 有 弱 口 令 , 远 程 管 理 端 口 是 否 对 公 网 开 放 2、 查 看 服 务 器 是 否 存 在 可 疑 账
网络攻防演习应急流程.docx
04-17
网络攻防演习应急流程.docx
windows应急流程应急演练
02-17
windows常见的应急响应事件分类;检查异常端口、进程;检查启动项、计划任务、服务;检查系统相关信息;自动化查杀;日志分析及应急响应等等
linux应急工具--busybox.rar
12-22
linux应急工具---busybox
应急响应的基本概念与基础操作
好好睡觉
03-30 4412
应急响应基础概念、linux下应急响应的一搬流程、md5查杀webshell
BusyBox
qq_21193587的博客
06-02 4873
echo " net.bridge.bridge-nf-call-ip6tables=1 net.bridge.bridge-nf-call-iptables=1 net.ipv4.ip_forward=1 net.ipv4.conf.all.forwarding=1 net.ipv4.neigh.default.gc_thresh1=4096 net.ipv4.neigh.default.gc_thresh2=6144 net.ipv4.neigh.default.gc_thresh3=8192 net.
【网络安全系列】浅谈应急响应
读万卷书,行万里路。
03-03 2503
文章目录1 Why?2 What?3 How? 应急响应包含组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施。,是信息安全从业者的常见工作之一。应急响应并非仅仅是在系统被黑之后做一系列的补救措施,而是需要在平时就进行被黑的准备和避免被黑。 各大厂商通常的做法就是成立应急响应中心 SRC(Security Response Center),来尽量避免被黑。 1 Why? 问1:为什么需要应急响应流程? 需要了解为什么需要应急响应,那就需要从应急响应的目的入手:尽可能保证网站系
Linux应急响应笔记
程序员小乐
03-12 539
点击上方 "编程技术圈"关注,星标或置顶一起成长后台回复“大礼包”有惊喜礼包!每日英文There's no one that can influence the ...
应急响应中Linux库文件劫持
dayouzi的博客
02-13 1125
在日常的应急工作中,经常遭遇挖矿病毒的案例,但是往往用ps,top等命令是看不到异常的,且即使kill掉进程和计划任务项往往过一会进程就会重新起来。这种情况往往是存在预加载恶意动态链接库的后门,其实网上有很多详细的文章去讲解这个技术,这里笔者也是为了插个眼。动态链接库预加载机制是系统提供给用户运行自定义动态链接库的一种方式,在可执行程序运行之前就会预先加载用户定义的动态链接库的一种技术。
网络安全应急响应流程
dexi1113的博客
06-13 823
已被入侵的系统产生的任何结果都是不可靠的。一般来说,要成功地恢复被破坏的系统,需要维护干净的备份系统,编制并维护系统恢复的操作手册,而且在系统重装后需要对系统进行全面的安全加固。基于现实困境,在充分运用既有研究、建设成果的基础上,应当进一步实现信息汇聚、信息分析、联合研判、辅助决策、应急指挥、应急演练、预案管理等核心处置流程,确保一旦发生重大信息安全事件,能够迅速研判,形成预案,迅速指挥调度相关部门执行应急预案,做好应对措施,避免给国家和社会造成重大影响和损失,防止威胁国家安全的情况发生。
xx局网络安全事件应急流程
07-31
网络安全事件应急流程图是指在发生网络安全事件时,组织或机构应该按照一定的流程和步骤进行应急处理的图示表示。 首先,在网络安全事件发生时,xx局应成立专门的应急小组,由网络安全专家、IT技术人员等组成。该...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值