【安全服务】应急响应1:流程、排查与分析

VIP文章 已于 2024-03-22 16:54:19 修改
阅读量1.5w 收藏 122
点赞数 23
分类专栏: 安全服务 应急响应 文章标签: 应急响应 安全服务 安全事件
于 2021-09-08 17:27:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kongzhian/article/details/120141747
版权

目录

一、应急响应流程

1 准备阶段

2 检测阶段

3 抑制阶段

4 根除阶段

5 恢复阶段

6 总结阶段

现场处置流程

二、系统排查

1、系统信息

2、用户信息

3 启动项

4 任务计划

5 其他Windows防火墙规则

 三、进程排查

1 windows

1.1 任务管理器

1.2 cmd > tasklist

1.3 查看正在进行网络连接的进程cmd > netstat -ano | findstr 'ESTABLISHED'

2 Linux

2.1 netstat -ap 

2.2 特定pid对应的执行程序:ls -alt /proc/PID

2.3查看进程打开的文件 lsof -p PID

2.4 kill -9 PID 杀死进程

2.5 查看隐藏进程

2.6 查看占用资源较多的进程top

四、服务排查

1 windows服务

2 Linux 服务

五、文件痕迹排查

1 windows

1.1敏感目录

1.2时间点查找

1.3 webshell文件

2 linux

2.1敏感目录

2.2时间点查找

六、日志分析

1 windows日志

 1.1 系统日志

 1.2安全性日志

 1.3应用程序日志

 1.4 应急响应中常见的事件id

 1.5日志分析

 2 Linux日志

1 查看日志

2 日志分析

3 其他日志

七、内存分析

最低0.47元/天 解锁文章
kzaaa
关注
  • 23
    点赞
  • 122
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
应急响应流程
Chur的博客
08-16 9329
初步了解应急响应流程以及基础方法
应急响应】Linux入侵排查思路
09-18
应急响应】Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
应急响应-流量分析
qq_50765147的博客
01-28 619
应急响应中,有时需要用到流量分析工具,。当需要看到内部流量的具体情况时,就需要我们对网络通信进行抓包,并对数据包进行过滤分析,最常用的工具是Wireshark。
应急响应-PDCERF 方法03
战神/calmness的博客
02-09 5855
PDCERF方法最早于1987年提出,该方法将应急响应流程分成准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。根据应急响应总体策略为每个阶段定义适当的目的,明确响应顺序和过程。但是,PDCERF方法不是安全事件应急响应的唯一方法。在实际应急响应过程中,不一定严格存在这6个阶段,也不一定严格按照这6个阶段的顺序进行。但它是目前适用性较强的应急响应通用方法。 准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结 1)准备阶段 准备阶段以预防为主。主要工作涉及识别机构、企业的风险..
应急响应总体流程
m0_67284865的博客
05-18 972
​ 主要任务是回顾并整合应急响应过程的相关信息,进行事后分析总结和修订安全计划、政策、程序,并进行训练,以防止入侵的再次发生。基于入侵的严重性和影响,确定是否进行新的风险分析,给系统和网络资产制作一个新的目录清单。这一阶段的工作对于准备阶段工作的开展起到重要的支持作用。​ 总结阶段的工作主要包括以下3方面的内容:(1)形成事件处理的最终报告:(2) 检查应急响应过程中存在的问题,重新评估和修改事件响应过程;(3) 评估应急响应人员相互沟通在事件处理上存在的缺陷,以促进事后进行更有针对性的培训。
服务器应急预案
11-21
服务器系统故障应急预案1、服务器应用系统出现故障,系统恢复应急预案 2软件系统故障应急预案4、 黑客攻击事件应急预案 5、服务器硬件故障应急预案
应急响应篇:windows入侵排查
kali_Ma的博客
09-08 1668
前言 应急响应(Incident Response Service,IRS)是当企业系统遭受病毒传播、网络攻击、黑客入侵等安全事件导致信息业务中断、系统宕机、网络瘫痪,数据丢失、企业声誉受损,并对组织和业务运行产生直接或间接的负面影响时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,同时分析入侵原因、还原入侵过程、评估业务损失、溯源黑客取证并提出解决方案和防范措施,减少企业因黑客带来的相关损失。本文主要讨论windows被入侵后的排查思路。 windows入侵排查利器:火绒剑 202
应急响应的基本概念与基础操作
好好睡觉
03-30 4043
应急响应基础概念、linux下应急响应的一搬流程、md5查杀webshell
Linux应急响应流程
SHELLCODE_8BIT的博客
07-09 418
1.发现威胁1.1 收到防护设施告警(WAF,IPS,IDS)2.应急处置2.2 确定影响业务范围2.23.系统加固4.溯源
应急响应的基本流程(建议收藏)
ITIL之家公众号
01-04 4161
注意在整个过程中不要被客户或现场的运维人员误导。操作前需先征得客户许可。因实际的应急情况会比较复杂,因此需根据实际情况进行灵活处置。1.了解情况发生时间:询问客户发现异常事件的具体时间,后...
服务器管理应急预案.doc
06-08
服务器管理应急预案 服务器系统故障应急预案 1、服务器应用系统出现故障,系统恢复应急预案 (1)当服务器应用系统出现故障,安全管理员、系统管理员、应用管理员应当立即初 步确定故障的严重程度,估计出现故障的应用系统故障排除需要的时间,并根据应用系 统需要保障的无故障运行时间,采取不同的应用系统恢复策略。 (2)如果应用系统不能停机,立即启用热备份系统进行工作。 如果应用系统不能停机,而故障又可以在10分钟之内排除,那么安全管理员指导系 统管理员和应用管理员立即排除故障,恢复系统正常运行。 应用系统可以停机而故障又可以在2小时内排除,安全管理员,应该断开服务器的 网络连接,配合系统管理员和应用管理员,处理服务器故障,尽快排除故障,恢复系统 运行。 应用系统可以停机但故障排除不能在2小时之内完成,而应用系统有冷备份系统, 安全管理员,应该断开服务器的网络连接,通知系统管理员和应用管理员启动冷备份系 统,完成应用系统的安装、设置,并进行数据的恢复,保证系统正常运行。 应用系统可以停机,而又没有冷备份的应用系统,那么安全管理员应该通知系统管 理员和应用管理员,备份现有系统的数据和程序,如果不能进行备份系统的数据和程序 ,安全管理员应该从备份管理员那里得到应用系统的最新备份。安全管理员在确定了应 用系统有备份的情况下,通知系统管理员重新修复或安装操作系统,并配合应用管 响、处置结果在调查工作结束后一日内书面报告信息网络事件应急小组主任。 (5)应急预案技术措施,如果出现网络病毒,系统管理员采用瑞星杀毒软件或卡巴 斯基杀毒软件和360木马查杀工具,对整个计算机进行杀毒。对不能确定是否为病毒的文 件,应该询问安全管理员和应用程序员来确定。如果出现不良信息,安全管理、系统管 理员程序管理员要设法找到不良信息的文件或不良信息存在数据库中的位置,对非法信 息,进行手工删除,或编程删除,若不能清除,采用程序和数据备份进行恢复。 3、软件系统故障应急预案 (1) 发生服务器软件系统故障后,安全管理员、系统管理员、应用管理员应立即对服务器进 行查看,分析故障原因,采取并及时报告信息网络事件应急小组;同时安排将故障服务 器脱离网络,保存系统状态不变,取出系统镜像备份磁盘,保持原始数据,按照系统恢 复应急预案进行。 (2)事态或后果严重的,信息网络事件应急小组。 (3)处置结束后, 系统管理员应将事发经过、处置结果等在调查工作结束后一日内报告信息网络事件应急 小组。 (4)技术措施:安全管理员、系统管理员、应用管理员在故障发生后立即查看服务 器系统状态,如果是系统软件出现故障,并且能进入系统,且可以清晰定位故障原因, 并可以立即排除,那么立即进行排除。如果估计在3小时之内都不能定位故障原因,那么 报告信息网络事件应急小组,请求系统软件厂商及技术支持协助排除,或根据技术支持 的建议进行重新安装操作系统和应用系统。排除操作系统故障的方法,检查操作系统进 程是否都正常,有无非法进程,操作系统文件有无损坏丢失,是否受到病毒和木马程序 侵害,黑客攻击。 如果不是操作系统故障,安全管理员应该只是应用管理员对应用系统进行检查,检 查方法,查看应用系统代码和数据是否被破坏,损坏,丢失,如果丢失,从正确的备份 进行恢复。 4、 黑客攻击事件应急预案 当发现网络被非法入侵、网页内容被篡改,应用服务器上的数据被非法拷贝、修改、删 除,或通过入侵检测系统发现有黑客正在进行攻击时,使用者或管理者应断开网络,并 立即报告信息网络事件应急小组。 接报告后,信息网络事件应急小组应立即指令系统管理员和安全管理员核实情况,关闭 服务器或系统,封锁或删除被攻破的登陆帐号,阻断可疑用户进入网络的通道。 系统管理员应及时清理系统,恢复数据、程序,恢复系统和网络正常;情况严重的,不 能准确判断黑客攻击行为和采取防护和阻断措施的,报告网络事件应急小组,并请求支 援。 处置结束后, 系统管理员和安全管理员应将事发经过、处置结果等在调查工作结束后一日内报告信息 网络事件应急小组。 (5)技术措施:查看是否存在黑客程序及非法进程,用杀毒软件,360木马查杀工具 ,以及手工方法清除非法程序,若安全管理员、系统管理员、应用管理员不能完全清除 黑客程序,安全管理员应及时报告信息网络事件应急小组,请求安全厂商及安全技术支 持协助排除,或根据技术支持的建议进行重新安装操作系统和应用系统。 5、服务器硬件故障应急预案 (1)发生服务器设备硬件故障后,安全管理员和系统管理员应及时报告信息网络事 件应急小组,并组织查找、确定故障设备及故障原因,进行先期处置。 (2)根据系统恢复应急预案,确定故障的服务器上的应用系统的应急恢复措施。 (3)处置结束后, 系统管理员应将事发经过、处置结果等在调查工作结束后一日内报告信息网络事件应
Linux应急响应排查基础.zip
02-11
Linux应急响应排查基础 包含如下7分文档 数据采集.docx history.docx 日志查看命令.docx PS.docx linux应急响应checkList.docx Linux应急响应.docx Linux日志系统.docx
Linux 应急响应流程及实战演练.docx
06-10
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络...针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
Linux应急响应辅助排查脚本
10-20
Linux应急响应辅助排查脚本 一键运行导出日志 将该脚本下载并移动到Linux任意文件夹,以root权限运行即可导出result.log辅助快速应急响应主机排查。 可使用此脚本用于分析日常服务器差异及被攻击行为。
安全重保服务方案及应急响应全面知识体系合集.zip
06-22
信息安全应急响应服务流程 实战 web 应急响应流程 数据驱动的大型央企应急响应实践 网页防篡改应急解决指南 专业安全应急响应服务白皮书 专业安全应急响应服务技术方案 专业安全应急响应服务介绍 大数据攻防演练看...
[影音娱乐]PPS影视自助建站系统 php版_sitebuilder.rar
04-20
【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。【项目质量】:所有源码都经过严格测试,可以直接运行。功能在确认正常工作后才上传。【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。【附加价值】:项目具有较高的学习借鉴价值,也可直接拿来修改复刻。对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。【沟通交流】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。鼓励下载和使用,并欢迎大家互相学习,共同进步。
[新闻文章]多讯文章管理系统 v2.5_dxnews25.rar
最新发布
04-20
【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。【项目质量】:所有源码都经过严格测试,可以直接运行。功能在确认正常工作后才上传。【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。【附加价值】:项目具有较高的学习借鉴价值,也可直接拿来修改复刻。对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。【沟通交流】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。鼓励下载和使用,并欢迎大家互相学习,共同进步。
VB医院血库管理系统设计(源代码+系统+开题报告+说明).rar
04-20
【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。【项目质量】:所有源码都经过严格测试,可以直接运行。功能在确认正常工作后才上传。【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。【附加价值】:项目具有较高的学习借鉴价值,也可直接拿来修改复刻。对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。【沟通交流】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。鼓励下载和使用,并欢迎大家互相学习,共同进步。
服务器入侵应急响应,服务器入侵应急响应排查(Linux篇)
05-19
服务器入侵应急响应是指当服务器遭受攻击或入侵后,及时采取对应的应急响应措施,阻止攻击者继续伤害或获取服务器数据。下面介绍一下 Linux 系统下的服务器入侵应急响应排查方法: 1. 收集信息:首先需要确定是否存在入侵,需要收集服务器日志、网络流量、进程信息等,可以使用一些工具如 tcpdump、iftop、lsof 等进行收集。 2. 初步判断:根据收集到的信息,初步判断入侵行为。比如是否存在异常登录记录、异常进程、异常文件等。 3. 隔离服务器:如果确认服务器已经被入侵,需要隔离服务器,避免攻击者继续获取服务器数据或者扩大攻击范围。 4. 恢复系统:根据入侵情况,选择合适的方法进行系统恢复。比如清除异常文件、升级补丁、重装系统等。 5. 处理数据:如果数据被攻击者获取,需要对获取的数据进行处理,比如修改密码、更改敏感信息等。 6. 预防措施:针对入侵事件,需要总结经验,加强服务安全防护措施,避免再次遭遇相似的攻击。 在进行服务器入侵应急响应排查时,需要注意安全问题,避免泄露敏感信息。建议在排查过程中使用专业的安全工具和方法,如有疑问可以寻求安全专家的帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值