应急响应笔记

应急响应基础

应急响应是一种处理安全事件、漏洞和网络威胁的结构化方法。尽可能在突发信息安全事件来临时，保证内部IT资产的安全，减少因网络攻击而受到的损失

应急响应的6个流程：
准备阶段 P- 检测阶段 D - 抑制阶段 C - 根除阶段 E -恢复阶段 R - 总结跟踪 F

常见的响应场景：

 1.Web入侵: 挂马、网页篡改、Webshell
 2.系统入侵: 系统异常、RDP爆破、SSH爆破、主机漏洞
 3.病毒木马:远控、后门、勒索软件
 4.信息泄露:脱裤、数据库登录(弱口令)
 5.网络流量:频繁发包、批量请求、DDOS攻击

点此处分享几个威胁情报平台中心

响应分析流程：
事件类型-时间范围-系统排查-进程排查-服务排查-文件痕迹排查-日志分析-关联推理-得出结论

Window常用命令

net user 获取本机用户列表
开始-运行-lusrmgr.msc
wmic group 查看组信息
wmic nteventlog 日志导出
wmic cpu get name 获取cpu型号
tasklist -svc 进程-PID-服务
certutil -hashfile 文件名 查看文件的MD5
cmdkey /l 查看远程桌面登陆过的主机
\要连接的ip地址 访问局域网内其他主机
net wlan show profile Wifi-name key=clear 查看以前连接过的并且遗忘的wifi密码
net localgroup administrator 本机管理员
net session 查看当前会话
net start –查看当前运行的服务
net use –远程连接
net share –查看当前用户下的共享目录
net view –查看局域网中正在运行的计算机列表net use\ip\ipc$ “密码” /user:”用户名
netstat -ano 查询本地开启了哪些端口
netstat -ano | findstr 3389 查询指定端口
taskkill /S system /F /IM notepad.exe /T 关闭notepad及以下子进程。

创建隐藏用户：
net user test$ 123456 /add
net localgroup administrators test$ /add
net user test$ /del 可以删除隐藏用户

查看隐藏用户：
net user test$
wmic useraccoount get name
注册表（SAM）
用户管理（lusrmgr.msc）

系统命令 -schtasks
schtasks /query /fo LIST /v 获取本机计划任务
schtasks /create /sc minute /mo 20 /tn “demo” /tr D:\a.vbs 创建一个名为demo的计划任务
schtasks /delete /tn “demo” /f 删除名为demo的计划任务

系统命令- findstr
findstr /s /i “backup” * .* 在当前目录及所有子目录下的所有文件中查找"backup"这个字符串，*.*表示所有类型的文件
findstr /s /i /c:“backup jobs” * . * 在当前目录及所有子目录下查找"backup jobs" 带有空格的字符串。
findstr 参数 “内容” “文件或目录”
findstr /s /i “Hello” . 不区分大小写，在当前目录和所有子目录中找到所有文件中的hello

attrib -修改文件的属性
attrib /? 命令帮助
attrib[盘符:][路径][文件名][+r][-r][+a][-a][+s][-s][+h][-h][/s][/d][/?]
参数说明：
+r 设置只读属性
-r 取消只读属性
+a 设置存档属性
-a 取消存档属性
+s 设置系统属性
-s 取消系统属性
+h 设置隐藏属性
-h 取消隐藏属性
/s 显示目录下所有文件的属性
/d 将attrib和任意命令行选项应用到目录

快捷指令：
msinfo32 系统信息
msconfig 系统配置
regedit 注册表
gpedit.msc 组策略
services.msc 服务
compmgmt.msc 计算机管理
taskschd.msc 计划任务
lusrmgr.msc 本地用户和组
eventvwr.msc 事件查看器
control 控制面板
notepad 记事本
mstsc 远程桌面登录

关键目录&关键文件：
%WINDIR%
%WINDIR%\system32\
%TEMP%
%LOCALAPPDATA%
%APPDATA

系统日志：
系统启动ID 12
事件日志服务已启动ID 6005
事件日志服务已停止ID 6006
系统关闭ID 13

Linux

crontab -定期执行程序
crontab [-u user] { -l | -r | -e}
-l：列出当前计划任务
-r：删除当前计划任务
-e：修改当前计划任务

计划任务默认存储位置
/var/spool/cron/*
/etc/anacrontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthy/*
/etc/cron.weekly/*
/etc/crontab

启动项:
/etc/inittab
/etc/init/.conf
/etc/rc.d/rc.sysinit
/etc/rc.d/init.d
/etc/rc.d/rc/local
/etc/rc.d/*
/etc/init.d/*

ps
ps -ef (e查看系统运行的所有进程，f扩展输出) ps -ef对比于ps -aux可以查询到父进程，即PPID值
ps aux 查看所有用户进程包括后台进程
pstree -p 以树状图显示进程，并显示进程PID
根据netstat定位出的pid使用ps命令分析进程
ps aux | grep pid

find 在指定的目录下查找文件
-type b/d/c/p/l/f 块设备、目录、字符设备、管道、链接、普通文件
实例：find <查询路径> -type -name
-mtime -n +n 按文件更改时间查找文件，-n指n天以内，+n指n天以前
-atime -n +n 按文件访问时间来查找文件
-ctime -n +n 按文件创建时间来查找
find /etc -mtime -1 -type f -print 查找24小时内/etc下修改过的文件

history
~/.bash_history 查看历史命令

lsattr & chattr
lsattr - 显示文件属性 chattr - 执行改变文件或目录的属性
chattr +i 防止系统中某个关键文件被修改
chattr +a 只能向文件中添加数据而不能删除

日志排查
/var/log/message 包括整体系统信息
/var/log/auth.log 包含系统授权信息，包括用户登录和使用的权限机制等
/var/log/userlog 记录所有等级用户信息的日志
/var/log/cron 记录crontab命令是否被正确执行
/var/log/vsftpd.log 记录Linux FTP日志
/var/log/lastlog 记录登录的用户，等同于lastlog命令
/var/log/secure 记录大多数应用输入的账号密码，登录成功与否
/var/log/wtmp 记录登录系统成功的账号信息，等同于last命令
/var/log/faillog 记录登录不成功账号信息，一般会被黑客删除
Linux系统日志相关配置文件 /etc/rsysylog.conf(syslog.conf)
日志分析主要为grep，sed，sort，awk的综合运用

定位有多少IP在爆破主机root账号:
grep “Failed password for root” /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr |more

登录成功过多的IP有哪些:
grep “Accepted” /var/log/secure |awk ‘{print $11}’ | sort | uniq -c | sort -nr | more

查看登陆日志：
more /var/log/secure
who /var/log/wtmp

日志排查:
who 显示目前登录系统的用户信息
last 显示用户最近登录信息，单独执行last命令，它会读取/var/log/wtmp的文件。
lastb 查看显示用户登录失败的信息
lastlog 查看系统中所有用户最近一次登录信息
w 显示已经登陆系统的用户列表
uptime 命令用于查看服务器运行了多长时间以及有多少个用户登录

系统信息排查:
查看分析history（cat /root/.bash_history），以便进一步排查溯源，可能会通过记录关联如下信息：
a）wget远程某主机（域名&IP）的远控文件
b）尝试连接内网某主机（ssh scp），便于分析攻击者意图
c）打包某铭感数据或代码，tar zip类命令
d）对系统进行配置，包括命令修改、远控木马类，可找到攻击者关联信息
查看系统用户登录信息lastlog，系统中所有用户最近一次登录信息
lstb，显示用户错误的登录列表；
last，用于显示用户最近登录信息（数据源为/var/log/wtmp，var/log/btmp）
查看ssh相关目录有无可疑的公钥存在
Redis（6379）未授权恶意入侵，即可直接通过redis到目标主机导入公钥
目录：~/.ssh/
目录 /etc/profile.d/下，系统启动后就会自动执行该目录下所有shell脚本
lsattr 查看当前目录文件是否添加i权限
chattr -i 删除i权限
stat filename 命令查看文件的修改、创建、访问日期
sar -n DEV 1 4 查看网络流量 1是每秒一次，4是查看4秒
strace -tt -T -e trace=all -p $ pid 跟踪异常进程运行情况
tcpkill -i ens 160 port 3306 kill掉网卡ens160上所有3306端口的tcp连接
tcpkill -9 -i ens160 host 192.168.88.35 kill到达或离开192.168.88.35主机的所有tcp数据包，这里我们加上-9暴力kill，host后面也是可以接域名的
tcpkill -i ens160 host 192.168.152.116 and port 8080 kill掉主机192.168.88.35的8080端口的所有tcp连接

另外的几种应急响应方式会单独出几篇文章都是自己整理的笔记，有需要的小伙伴低点个关注点个赞直接拿走。