应对 Windows 和 Linux 系统中的后门、勒索病毒攻击应急响应全解析

最新推荐文章于 2025-01-08 23:49:45 发布
最新推荐文章于 2025-01-08 23:49:45 发布
阅读量972 收藏 19
点赞数 19
分类专栏: 网络安全 文章标签: windows linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57836225/article/details/143807120
版权

目录

内容

一、事件介绍

二、原理分析

三、应急响应步骤与相关命令 / 工具

内容

一、事件介绍

在网络安全领域,我们常常会面临各种严峻的挑战,其中后门和勒索病毒对 Windows 和 Linux 系统的攻击尤为棘手。今天要和大家分享的是第 74 天所经历的应对此类攻击的应急响应过程。

当系统遭受后门攻击时,攻击者可能已经在我们的 Windows 或 Linux 系统中留下了隐蔽的通道,以便随时获取系统信息、执行恶意命令等。而勒索病毒更是如同网络世界中的强盗,它会加密我们的重要数据,然后向我们索要赎金,给用户和企业带来巨大的损失。

二、原理分析

  1. 后门攻击原理
    对于 Windows 系统,后门可能通过利用系统漏洞(如一些未及时更新补丁的漏洞,如 EternalBlue 等),攻击者将恶意代码植入系统。这些代码可能隐藏在看似正常的进程或服务中,通过特定的端口与外部攻击者通信。在 Linux 系统中,常见的是利用一些配置不当的服务(如 SSH 服务如果设置了弱密码或者存在可被利用的漏洞版本),攻击者上传并执行后门程序,这些程序可以绕过正常的认证机制,为攻击者打开方便之门。
  2. 勒索病毒攻击原理
    勒索病毒通常会在进入系统后,迅速扫描系统中的文件,利用强大的加密算法(如 AES、RSA 等)对文件进行加密。它会修改文件的加密密钥,使得用户无法使用原始数据。同时,它会在系统中留下勒索信息,告知受害者如何支付赎金来获取解密密钥。这些勒索病毒往往通过恶意邮件附件、恶意软件下载站等途径进入系统,一旦用户不小心点击或执行了相关的恶意程序,就会触发感染。

三、应急响应步骤与相关命令 / 工具

  1. 检测与识别(Windows)
    • 使用系统自带工具:利用 Windows 任务管理器(Ctrl + Shift + Esc)查看是否有异常的 CPU、内存占用进程。对于可疑进程,可以使用命令tasklist /v详细查看进程信息,包括其路径等。如果发现不明来源的进程,可能是后门程序。对于勒索病毒,可以查看系统中是否有新增的陌生文件,特别是一些具有加密特征的文件扩展名(如.encrypted.locked等)。
    • 安全工具:使用杀毒软件(如卡巴斯基、360 安全卫士等)进行全盘扫描。例如在卡巴斯基中,可以在其界面中点击 “全盘扫描” 按钮启动扫描。这些软件可以利用其病毒库来检测已知的后门和勒索病毒特征码。如果检测到病毒,可以查看其详细报告获取相关信息。
  2. 检测与识别(Linux)
    • 命令行工具:使用ps -ef命令查看所有正在运行的进程,注意是否有异常的进程占用系统资源或者其启动命令看起来可疑。对于勒索病毒,可以通过find / -name '*.*' -mmin -60(这里以查找最近 60 分钟内修改的文件为例,可根据实际情况调整)来查找是否有大量文件被异常修改。同时,检查系统日志(/var/log/messages/var/log/syslog等)看是否有异常的登录尝试或其他可疑活动。
    • 安全工具:可以使用 ClamAV 等开源杀毒软件。安装完成后,使用clamscan -r /(扫描根目录下所有文件)命令进行扫描检测。
  3. 隔离与清除(Windows 和 Linux)
    • 对于后门程序:如果确定是后门程序,在 Windows 中,可以尝试使用net stop命令停止相关可疑服务(例如net stop [service_name],其中[service_name]是可疑服务名称),然后在安全模式下删除相关文件。在 Linux 中,可以使用kill -9 [pid][pid]是进程 ID)来强制终止后门进程,然后删除其对应的可执行文件。
    • 对于勒索病毒:如果没有解密密钥,隔离受感染的机器,防止病毒进一步传播。断开网络连接(在 Windows 中可以在网络设置中禁用网卡,在 Linux 中可以使用ifconfig [interface] down[interface]是网络接口名)。避免对加密文件进行任何写入操作,防止数据覆盖,增加恢复难度。如果有备份数据,可以考虑从备份中恢复。
  4. 恢复与加固(Windows 和 Linux)
    • 系统更新:在 Windows 中,通过 “设置” 中的 “更新和安全” 选项进行系统更新,安装最新的安全补丁。在 Linux 中,使用包管理器(如apt update && apt upgrade对于 Debian 系,yum update对于 Red Hat 系)更新系统和软件包。
    • 密码修改:对于系统账户和相关服务账户,修改密码为强密码(包含大小写字母、数字、特殊字符,长度足够)。在 Windows 中,可以在 “控制面板 - 用户账户” 中修改用户密码。在 Linux 中,可以使用passwd命令修改用户密码。
    • 访问控制设置:在 Windows 中,通过设置文件和文件夹的权限(在文件属性的 “安全” 选项卡中),限制不必要的用户和组的访问。在 Linux 中,可以使用chmodchown命令来修改文件和目录的权限和所有者。例如chmod 700 [file](只允许文件所有者读写执行),chown user:group [file](修改文件所有者和组)。

希望通过这次分享,能让大家对 Windows 和 Linux 系统遭遇后门和勒索病毒攻击的应急响应有更深入的了解,提高网络安全意识和应对能力。

网络安从入门到精通(特别篇I):Linux事件应急响应Linux应急响应基础必备技能
HACKONE的博客
04-10 893
awk 首先将每条日志中的IP抓出来,如日志格式被自定义过,可以 -F 定义分隔符 print指定列;
43-1 应急响应 - Windows入侵排查实验
weixin_43263566的博客
05-27 515
1)我这里使用CS随便生成一个木马,然后复制到windows虚拟机中运行2)然后在windows靶机中给这个木马文件设置计划任务,设置教程随便百度都能找到,这里就不说了。
Linux故障排查思路及常用命令(收藏了)
qq_23930765的博客
11-03 1319
Liunx应急一直都是安行业中的重点, 由于是命令行界面,排查起来也没那么方便, 也一直想做这方面的笔记,今天抽空来总结一下。 目录: 现场环境 如果是Linux系统的话,见过最多的是CentOS 6,Linux命令界面的, 如果是Windows系统的话,一般是Windows server 2008 常见应急问题 大多数应急常见的问题都是挖矿,或者是被植入菠菜 小部分是中了勒索病毒,如果是勒索病毒的话,看看360、腾讯有没有什么 解密工具, 如果没有的话就重装系统吧,自求多福 (逃。。 排查思路及方
linux勒索病毒分析,永恒之蓝的勒索病毒tasksche.exe样本分析
weixin_32103009的博客
05-13 2492
内容:分析病毒结构,写出病毒如何利用漏洞进行攻击,详细剖析勒索病毒的运行过程,使用了什么加密算法,调用了什么系统API。进阶:中了该勒索病毒,怎么恢复数据样本分析首先是看下病毒样本的哈希值图片.png查壳信息,win32程序无壳:图片.png载入IDA后,先查看字符串,看到有RSAAES,猜测之后会使用这两种加密方式:图片.png用IDA的findcrypto插件,找到了AES算法的特征:图片....
Windows 权限维持之 Shift 后门
Welcome To Myon'Blog !
05-31 933
正常情况下我们连按五次 shift 键会弹出粘滞键粘滞键是电脑使用中的一种快捷键,一般连按五次 shift 会出现粘滞键提示,粘滞键是专为同时按下两个或多个键有困难的人而设计的, 粘滞键开启后,可以先按一个键位,再按另一键位,而不是同时按下两个键位,方便某些因身体原因而无法同时按下多键的人。sethc.exe 就是 Windows 下的粘滞键,它的位置在 C:\Windows\System32\sethc.exe。
74 应急响应-win&linux分析后门&勒索病毒&攻击
山兔的博客
10-25 568
不要乱下,长期打补丁,并且更新杀毒软件,在服务器上保持干净,不要乱下一些乱七八遭的软件,中毒还有一种情况是被别人给危害了,可能你的内网主机,之前勒索病毒爆发的时候,出过爆发漏洞,然后进行内网渗透,自带感染,但是我们要想到,他是基于漏洞的,提前做好补丁,安装好防护的话,其实是能够直接解决这个问题的,总的来说就是管理员的疏忽,没有定期的更新补丁,做好漏洞的防范,就不会导致这样的事情。1.常见危害: 暴力破解,漏洞利用,流量攻击,木马控制(webshell,PC木马等),病毒感染(挖矿,蠕虫,勒索等)。
一次真实的应急响应案例(Windows2008)——暴力破解、留隐藏账户后门与shift粘贴键后门、植入WaKuang程序——事件复现(含靶场环境)
W小哥
04-02 1万+
一、事件背景 某天客户反馈:服务器疑似被入侵,与恶意IP进行通信(恶意IP用192.168.226.131代替)。(真实案例自己搭建环境复现一下,靶场环境放在了 知识星球 我的资源 中) 受害服务器: Centos系统、IP: 192.168.226.132、无WEB服务 二、应急响应过程 2.1 排查网络连接 2.2 排查历史命令 2.3 排查后门账户 2.4 排查crontab后门 2.5 排查是否有命令被替换 三、应急响应溯源 3.1 查看后门 3.2 排查安日志 3.2 溯源总结 至此,应急响
深度分析一款新型Linux勒索病毒
pandazhengzheng的博客
02-08 3413
深度分析一款新型Linux勒索病毒
应急响应——Windows / Linux 排查笔记
最新发布
未完成的歌~的博客
01-08 791
SSH 登录尝试的日志一般保存在 /var/log/auth.log (Ubuntu/Debian) 或 /var/log/secure (CentOS/RHEL) 文件中。通过这条Web访问日志,我们可以清楚的得知用户在什么IP、什么时间、用什么操作系统、什么浏览器的情况下访问了 你网站的哪个页面,是否访问成功。默认编写的 crontab 文件会保存在 (/var/spool/cron/用户名,例如:/var/spool/cron/root)如果某个 IP 的失败尝试次数特别多,可能是在进行暴力破解。
应急响应二 - 后门分析&勒索病毒&攻击
acepanhuan的博客
04-01 1135
应急响应二 - 后门分析&勒索病毒&攻击
[网络安自学篇] 二十五.Web安学习路线及木马、病毒防御初探
热门推荐
杨秀璋的专栏
11-12 3万+
这是作者的系列网络安自学教程,主要是关于网安工具实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了分享机器学习在安领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。这篇文章简单叙述了Web安学习路线,并实现了最简单的木马病毒代码,希望对读者有所帮助。
应急响应Windows系统应急响应排查方法(一)
SunnyCat
01-27 1682
windows后门排查 windows后门启动方式 1、用户启动目录 C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup C:\用户\用户名\AppData\Roaming\Microsoft\Windows\[开始] 菜单\程序\启动 2、系统服务方式启动【修改注册表,注册成某项服务,然后启动】 1、win+R,输入services.msc,打开"服务"面板 2、在“服务”面板中查看是否有异常命名的服务项
IceFire勒索软件转变攻击Linux企业网络
网络研究观
03-14 1万+
最近几周,黑客一直在针对 Linux 企业网络部署“IceFire”勒索软件,这是曾经仅适用于 Windows 的恶意软件的明显转变。
勒索病毒只有Windows系统有?Linux版的来了
weixin_34248023的博客
07-03 603
据新华社报道,肆虐Windows设备的“永恒之蓝”勒索病毒攻击余波未平,一个Linux版的“永恒之蓝”又出现了。 360官方博客25日紧急发布了Samba远程代码执行漏洞警报(CVE-2017-7494)。 Samba是在LinuxUnix系统上实现SMB协议的开源软件,正广泛应用在Linux服务器、NAS网络存储产品以及路由器等各种IoT智能硬件...
应急响应Windows应急响应 - 基础命令篇
网络安全从业者的学习笔记
07-02 3826
在如今的数字化时代,Windows系统面对着越来越复杂的网络威胁挑战。本文将深入探讨在Windows环境下的实战应急响应策略。我们将重点关注实际应急响应流程、关键工具的应用,以及如何快速准确地识别应对事件。通过分享实际案例分析,旨在帮助网络安从业者提升应急响应能力,有效保护关键资产数据的安
勒索病毒最新变种for linux,Satan勒索病毒新变种卷土重来 安狗提醒您注意
weixin_34565946的博客
05-21 294
近日,安狗海青实验室截获到Satan勒索病毒最新变种。该变种病毒会针对Windows系统Linux系统进行无差别攻击。Satan病毒在Windows电脑/服务器中,利用永恒之蓝漏洞对局域网Windows电脑进行攻击,同时攻击模块利用JBoss、Tomcat、Weblogic、Apache Struts2多个组件漏洞以及Tomcat弱口令爆破对Windows、Liunx服务器进行攻击。病毒攻击模...
新型Linux勒索软件恶意来袭
weixin_33859504的博客
08-01 154
俄罗斯反病毒公司Doctor Web的研究人员发现一种新型勒索恶意软件,该勒索软件瞄准了Linux用户,目前该恶意软件已经感染了数十个用户。 瞄准Linux用户的勒索软件 在网络犯罪生态系统中,恶意软件是一种有利可图的工具,在每周发现中安专家都会发现新型变种的恶意软件。然而,在这一周他们发现了专业勒索吸金恶意软件Cryptowall的新变种Crypt...
应急响应-勒索病毒检测指南&Win&Linux样本演示&家族识别&分析解密
SuperherRo的博客
04-09 2417
1、勒索病毒危害影响? 2、勒索病毒怎么传播的? 3、勒索病毒有哪些家族? 4、勒索病毒如何进行处置?
linux勒索病毒如何恢复数据,勒索病毒相应的解密工具
weixin_36297610的博客
05-12 1370
大多数企业在中了勒索病毒之后都会非常恐慌,不知怎么办,最直接的办法就是把中毒的机器进行隔离,断网处理,然后等待专业的安服务人员上门进行处理,针对一般的勒索病毒应急处理方法,如下:1.断网处理,防止勒索病毒内网传播感染,造成更大的损失;2.查找样本勒索相关信息,确认是哪个勒索病毒家族的样本;3.确认完勒索病毒家族之后,看看是否有相应的解密工具,可以进行解密;4.进行溯源分析,确认是通过哪种方式传...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值