9,应急响应

无论Windows还是Linux都先 断网
linux应急响应:
    1.查看是否有弱口令 是否有敏感端口对外开放
    2.查看是否有新增可登录用户 cat /etc/passwd | grep -E 'sh'  cat /etc/shadow | grep -E '(\$1|\$6)'
    3.查看历史命令 history history -c  对应的用户 cat /home/user_name/.bash_history rm 
    4.查看端口 netstat -anltp 对外ip established
    5.查看进程 ls -al /proc/pid/exe ps aux | grep pid
    6.启动项 rc.local rc/rc[0-6].d
    7.计划任务 crontab -l /var/spool/cron xxxx 
    8.服务 chkconfig --list chkconfig service_name on/off 
    9.敏感文件 /tmp .开头的文件或者目录 
    10.当前登录用户 w who users  tty pts
    11.安装杀软 clamav
    12.rootkit 专杀 rkhunter  chkrootkit 
    13.基线脚本
    查询管理员权限用户
        # cat /etc/passwd | awk -F: '$3==0{print $1}'
        uid或gid为0的用户
            # cat /etc/passwd | awk -F: '$3==0||$4==0{print $1}'
    判断哪些拥有有权限切换为其他任意用户
        # cat /etc/sudoers | grep -v '^#' | tr -s '\n' | awk '$2 ~ /(ALL)|(ALL:ALL))/{print             $1}'
        
    查看当前登录用户（tty本地登陆  pts远程登录）
            # who
                kali     tty7         2022-02-21 20:00 (:0)
                root     tty8         2022-02-21 20:53 (:1)
                kali     pts/1        2022-02-21 21:45 (192.168.163.1)            
    服务
        查看服务
            # chkconfig --list
        开启服务和关闭
            # chkconfig httpd [on|off] 
        检查异常文件
            # find / -name "*" -atime 1 -type f

        lastb 用户错误的登录列表
        lastlog 所有用户最近一次登录信息
        last命令 记录所有用户的历史登录 登出
1. windows 应急响应
    a) 判断是否使用了弱口令 判断是否有敏感端口对外开放
    b) 使用 cmd命令(lusrmgr.msc)或者 d盾判断是否有隐藏账户
    c) 查看已经对外建立的连接 
    d) 通过进程pid号查找对应的进程名 tasklist | findstr pid 
    e) 查看启动项
    f) 查看计划任务 
    g) 查看服务 services.msc 
    h) 查看系统信息 systeminfo 
    i) 查看最近打开文件%UserProfile%\Recent
    j) 查看当前登录的用户(query user)
    k) 木马在线扫描文件 微步在线 virustotal 360 
    m) 查看日志(eventvwr.msc) 重点看4624 4625 分别代表登录成功和失败