目录
Windows应急响应
操作系统日志
首先win+r打开运行窗口中输入eventvwr.msc打开事件查看器
常见的事件id
4624 | 登录成功 |
4625 | 登录失败 |
4634 | 注销成功 |
4647 | 用户启动的注销 |
4672 | 管理员登录 |
4720 | 创建用户 |
应用系统/中间件日志
我这里用的是phpstudy,找到安装目录,一般默认在D盘phpstudy_pro目录下,D:\phpstudy_pro\Extensions\Apache2.4.39\logs打开目录
查看系统进程
使用netstat -ano查看系统进程以及端口信息
搭配findstr命令有奇效
筛选出已经建立连接的进程
可疑进程用taskkill命令杀掉即可
排查可疑程序
- 如果是web服务可以查看网站根目录是否有陌生.php文件,可能是一句话木马
- 另外还有开机自启动目录C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
Linux应急响应
进程排查
需要使用ps命令
ps [选项]
- a 显示终端上的所有进程,包括其他用户的进程。
- u 以用户为主的格式来显示程序状况。
- x 显示所有程序,不以终端机来区分。
- -e 显示所有进程。
- -f 全格式。
参数含义:
-
UID 用户ID
-
PID 进程ID
-
PPID 父进程ID
-
C CPU占用率
-
STIME 开始时间
-
TTY 开始此进程的TTY----终端设备
-
TIME 此进程运行的总时间
-
CMD 命令名
参数含义:
- USER //用户名
- %CPU //进程占用的CPU百分比
- %MEM //占用内存的百分比
- VSZ //该进程使用的虚拟內存量(KB)
- RSS //该进程占用的固定內存量(KB)(驻留中页的数量)
- STAT //进程的状态
- START //该进程被触发启动时间
- TIME //该进程实际使用CPU运行的时间
top (动态查看进程)
端口检查
使用netstat命令,可以通过判断开放的异常端口来进行排查,或通过state字段来判断有没有端口进行网络连接。
查看历史命令
日志排查
- /var/log/message 包括整体系统信息
- /var/log/auth.log 包含系统授权信息,包括用户登录和使用的权限机制等
- /var/log/userlog 记录所有等级用户信息的日志
- /var/log/cron 记录crontab命令是否被正确的执行
- /var/log/xferlog(vsftpd.log) 记录Linux FTP日志
- /var/log/lastlog 记录登录的用户,可以使用命令lastlog查看
- /var/log/secure 记录大多数应用输入的账号与密码,登录成功与否
- /var/log/wtmp 记录登录系统成功的账户信息,等同于命令last
- /var/log/faillog 记录登录系统不成功的账号信息,一般会被黑客删除 如果开启了一些服务,也需要对服务运行的日志进行排查
登录排查
who (查看当前登录的用户)
w(显示已登陆的用户,且在执行的命令)
last (查看登录成功的用户)
lastb(查看最近登录失败的用户)
我这里是空的,没有登录失败的用户
lastlog (查看所有用户最近登录的时间)
cat /etc/passwd(查看用户信息)
自启动项排查
因为新装的系统,所以这里启动项少得可怜
以上就是本篇全部内容了