应急响应/入侵排查

1 应急响应概述

1.1 安全事件分类

1.1.1 恶意程序

病毒、蠕虫、木马、僵尸网络、网页嵌入恶意代码

1.1.2 网络攻击

DDos、后门、漏洞、扫描、窃听、钓鱼、干扰

1.1.3 信息破坏

信息篡改、信息假冒、信息泄露、信息窃取、信息丢失

1.1.4 设备设施故障和灾害

1.2 hacker攻击的目的

窃取数据、加密勒索、瘫痪服务、挖矿、跳板机

1.3 应急响应的定义

1.3.1 事前准备

数据备份、风险评估、安全巡检、应急演练、防范措施、安全培训

1.3.2 事后处理

切断网络→病毒检测→后门检测→清除病毒或后门隔离→系统恢复→修复漏洞→调查与追踪→入侵者取证

1.4 应急响应流程

1.4.1 信息收集

• 基础信息：运行的服务，开放的端口，启动项等

• 影响范围

1.4.2 类型判断

何种安全事件

威胁情报网站

平台	地址
360威胁平台	https://ti.360.net/#/homepage
绿盟威胁情报平台	https://ti.nsfocus.com/
venuseye威胁情报平台（启明星辰）	https://www.venuseye.com.cn/
安恒威胁情报平台	https://ti.dbappsecurity.com.cn/
微步威胁情报平台	https://x.threatbook.com/
天际友盟RedQueen安全智能服务平台	https://redqueen.tj-un.com/
奇安信威胁情报中心	https://ti.qianxin.com/
安天威胁情报中心	https://www.antiycloud.com/
深信服安全中心	https://wiki.sec.sangfor.com.cn/index/abroad
永安在线	https://www.yazx.com/
阿里云漏洞库	https://avd.aliyun.com/

1.4.3 原因分析

判断漏洞所在，入侵思路

1.4.4 事件处置

进程、文件、网络、设备、补丁等

1.4.5 编写报告

2 Linux入侵排查

2.1 Linux被入侵症状

2.1.1 系统资源

1. CPU、内存、磁盘占用

   top -c -o %CPU
   

   

   top -c -o %MEM
   

   

   ps -aux --sort=-pcpu|head -10
   

   

   df -Th
   

   

2. 系统进程

   ps -ef
   ps -aux
   

   pstree
   

   

3. 网络连接

   #查看文件，通过网络的方式展示
   lsof -i
   

   

   #网络端口信息
   netstat -antpl
   

   

   #查看防火墙进出规则
   iptables -L
   

   

2.1.2 用户和日志

1. 系统用户

   #查看超级用户（UID=0）
   awk -F: '$3==O{print $1}' /etc/passwd
   

   正常情况下只有一个root

   #查看当前登录的用户及登录时间等信息
   who
   #查看已登录的用户，及在执行的命令
   w
   #查看登录成功的用户及登录地址和时间等信息
   last
   #查看最近登录失败的信息
   lastb
   #查看所有用户最近登录的时间
   lastlog
   

2. 审计日志

   #整体日志
   /var/log/message
   #登录注销日志  last
   /var/log/wtmp
    #登录日志  lastlog
   /var/log/lastlog
   #登录失败日志  lastb
   /var/log/btmp
   #当前用户  w.whousers
   /var/log/utmp
   #定时任务日志
   /var/log/cron
   #系统应用登录日志
   /var/log/secure
   #软件安装日志
   /var/log/yum.log
   

   #各种应用的日志
   /va/log/vsftp.log
   /var/log/httpd/access.log
   /var/log/samba
   /var/log/nfs
   

3. 历史命令

   #查看
   history
   #清除
   echo "" >~/.bash_history
   

2.1.3 文件和命令篡改

1. 系统文件篡改

   #指定目录7天内被修改的文件
   find /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime -7 | xargs ls -alh
   

2. 系统命令篡改

   top、ps被修改

   alias别名被修改

   vim ~/.bashrc
   source ~/.bashrc
   # 格式为  alias 自定义的命令=完整的命令
   # 比如   alias www='cd /www'
   

3. SSH key

   cd /root/.ssh
   cat authorized_keys
   

2.1.4 启动项和定时任务

1. chkconfig

   # 查看系统服务
   systemctl list-unit-files|grep sshd
   # 开启telnet服务
   chkconfig telnet on
   #关闭telnet服务
   chkconfig telnet off
   

2. systemctl

   # 查看系统服务
   systemctl list-unit-files --type=service | grep sshd
   # 开启mysql服务
   systemctl enable mysqld.service
   # 关闭mysql服务
   systemctl disable mysqld.service
   

   

3. 文件

   /etc/rc.d/rc
   /etc/rc
   /etc/rc.local
   /etc/rc.d/rc.local
   /etc/rc.d/rc
   /etc/init/*.conf
   /etc/rc$runlevel.d/
   /etc/profile
   /etc/profile.d/
   

4. 定时任务

   crontab -l
   cat /etc/crontab
   ll /etc/cron.*
   

2.2 Linux应急措施

• 隔离主机

• 阻断通信

  iptables -A INPUT -s 可疑地址 -j DROP
  iptables -A OUTPUT -d 可疑地址 -j DROP
  

• 清除病毒

  kill -9 [pid]
  kill -9 -[pid]  #杀掉进程组
  

• 可疑用户

  cat /etc/password
  userdel 可疑用户名
  

• 启动项和服务

  chkconfig --del 可疑的服务名
  systemctl disable 服务名
  

• 文件与后门

  系统命令被篡改→拷贝其他系统的命令文件，运行busybox

  定时任务→crontab -l cat /etc/anacrontab

  SSH key→cd /root/.ssh

  SUDO→sudo -l visudo

  SUID→find / -perm -u=s -type f 2>/dev/null find / -user root -perm -40000 -print 2>/dev/null find / -user root -perm -4000 -exec ls -ldb {} \;

• 杀毒、重装系统、恢复数据

2.3 Linux应急checklist和自动化工具

自动化工具下载地址

3 Windows入侵排查

3.1 异常特征

• 操作异常

  卡顿、报错、重启、蓝屏

• 资源异常

  CPU、内存、网络

• 文件异常

  恶意文件、加密文件

• 设备告警

  防火墙、杀软、检测平台、态势感知平台

3.2 系统账号安全

3.2.1 弱口令

#远程桌面
netstat -an|findstr 3389

3.2.2 可疑账号

net user
net user 用户名
lusrmgr.msc

3.2.3 隐藏账号

#查看注册表
HKEY_LOCAL_MACHINE\SAM\SAM
#管理员打开cmd
net user 用户名$ /delete

打开注册表查看管理员对应键值，使用D盾_web查杀工具。

3.2.4 克隆账号

wmic useraccount get name

或者在注册表以下路径查看对比键值

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\

3.2.5 登录时间（日志）

• 事件查看器 eventvwr.msc

• Windows日志

  # 应用程序日志
  C:\Windows\System32\Winevt\Logs\Application.evtx
  # 系统日志
  C:\Windows\System32\Winevt\Logs\System.evtx
  # 安全日志
  C:\Windows\System32\Winevt\Logs\Security.evtx
  

  借记大佬的日志分析文章

3.3 端口和进程

3.3.1 端口

查看端口情况

netstat -ano

根据端口号查看进程情况

tasklist|findstr "端口号"

杀进程

taskkill /f /t/im 进程或程序名称

查看系统预定义的端口号

C:\Windows\System32\drivers\etc\services

3.3.2 进程

微软提供的高级任务管理器：Process Explorer v17.03

3.4 启动项、计划任务

msfconfig

注册表：HKEY_CURRENT_USER\Software\Microsoft\wiindows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

计划任务：

taskschd.msc
commgmt.msc
schtasks.exe

检查服务 services.msc

检查组策略

3.5 检查系统相关信息

查找可以目录及文件 C:\Users

最近打开的文件 %userprofile%\AppData\Roaming\Microsoft\Windows\Recent\

回收站、浏览器下载目录、浏览器历史记录

根据内容搜索恶意文件

findstr /m/i/s "eval" *.php

可以用everything搜索最近修改的文件

查看系统版本和补丁信息