1.基础技能
1.1入侵排查
windows
linux
awk -F: '{if($3==0)print $1}' /etc/passwd
AWK 是一种处理文本文件的语言,是一个强大的文本分析工具。
- -F fs or --field-separator fs
指定输入文件折分隔符,fs是一个字符串或者是一个正则表达式,如-F:。
lastb:显示错误列表
lastlog:显示所有用户最后的登录信息
last:
/var/log/
wtmp:登录成功的信息
btmp:登录失败的信息
utmp:当前登录的信息
1.2进程排查
windows: netstat
linux:
对于挖矿进程的排查,可使用top命令查看,对占用资源较高的进程进行重点关注。
1.3服务排查
1.4文件痕迹排查
WebShell排查工具:
D盾
Hwskill
WebshellKill
1.5日志分析
windows:
系统日志:各个组件运行的各种事件,例如驱动问题、操作系统问题、应用软件重大崩溃
安全性日志:记录了各种与安全相关的事件,包括各种登录与退出系统成功或不成功的信息
应用程序日志:各种应用程序所产生的事件,例如SQL Server数据库程序受到暴力破解攻击时
在应急溯源中,还会用到PowerShell日志
应急响应中,常见ID
4624 登录成功
4625 登录失败
windowsg日志分析工具:
Full EventLogView
Event Log Explorer
Log Parser
Linux
/var/log 日志目录
wtmp:记录登录进入、退出、数据交换、关机和重启,即last
cron:记录与定时任务相关的日志信息
messages:记录系统启动后的信息和错误日志
对linux的日志分析,主要使用 grep,sed,sort,awk等命令