应急响应流程

应急响应的流程（Linux 和 Windows）

1、收集信息：搜集客户信息和中毒信息，备份
2、判断类型：判断是否是安全事件、是何种安全事件（勒索病毒、挖矿、断网、ddos等）
3、深入分析：日志分析、进程分析、启动项分析、样本分析等
4、清理处置：杀掉恶意进程、删除恶意文件、打补丁、修复文件，检查后门
5、产出报告：整理并输出完整的安全事件报告

windows应急

一、查看系统账号安全
    1、查看服务器是否有弱口令、可疑账号、隐藏账号、克隆账号、远程管理端口是否对公网开放
    2、win+r（eventwmr.msc）查看系统日志，查看管理员登录时间、用户名是否存在异常

二、检查异常端口、进程
    1、netstat -ano 检查端口连接情况，是否有远程连接、可疑连接
    2、tasklist | findstr "PID"根据pid定位进程
    3、使用功能查杀工具

三、启动项检查、计划任务、服务检查
    1、检查服务器是否有异常的启动项，msconfig看一下启动项是否有可疑的启动项
    2、检查计划任务，查看计划任务属性，可以发现木马文件的路径
    3、检查服务自启动项，services.msc注意服务状态和启动类型，检查是否有异常服务

四、检查系统相关信息
    1、查看系统版本以及补丁信息 systeminfo
    2、查找可疑目录及文件 是否有新建用户目录 分析最近打开分析可疑文件（%UserProfile%\Recent）

五、自动化查杀
    使用360 火绒剑 webshell后门可以使用d盾 河马等

六、日志分析
    360星图日志分析工具 ELK分析平台

Linux应急

1、检查用户及密码文件，查看是否存在多余帐号或陌生账号，
	## 主要看一下帐号后面是否是 nologin,如果没有 nologin 就要注意；
	
2、查看用户登录情况，用户行为
    ## 通过 who 命令查看当前登录用户（tty 本地登陆 pts 远程登录）、
    ## 通过 w 命令查看系统信息，查看某一时刻用户的行为、
    ## 通过 uptime 查看登陆多久、多少用户，负载；
    
3、 查看history历史命令

4、 分析可疑端口
用 netstat -antlp| more命令分析可疑端口、IP、PID，查看下 pid 所对应的进程文件路径，运行ls -l /proc/$PID/exe 或 file /proc/$PID/exe（$PID 为对应的pid 号）；

5、分析可疑进程
使用ps命令，分析进程 ps aux | grep pid

6、检查当前系统运行级别，检查运行级别对应目录下有没有可疑文件
使用 vi /etc/inittab 查看系统当前运行级别，通过运行级别找到/etc/rc.d/rc[0~6].d对应目录是否存在可疑文件；

7、查看定时任务
看一下crontab定时任务是否存在可疑启用脚本；

8、检查服务，排查可疑服务
使用chkconfig --list 查看是否存在可疑服务；

9、分析系统日志和web日志，判断是否存在攻击痕迹
通过grep awk命令分析/var/log/secure安全日志里面是否存在攻击痕迹；

10、用工具对系统进行查杀
chkrootkit、rkhunter、Clamav 病毒后门查杀工具对 Linux 系统文件查杀；

11、如果有 Web 站点，可通过 D 盾、河马查杀工具进行查杀或者手工对代码按脚本木马关键字、关键涵数（evel、system、shell_exec、exec、passthru system、popen）进行查杀Webshell 后门。