实训第十一天

应急响应流程总结
预案：
准备阶段：通过安全监控系统或日志报警、告警等方式发现异常或有风险的行为。制定和维护应急响应预案，包括定义潜在威胁、响应流程。收集客户信息和中毒主机信息，包括样本。
研案：
事件识别：通过监控系统或报告发现潜在安全事件。判断是否是安全事件，何种安全事件，勒索、挖矿、断网、DoS等等。
深入研究：
深入分析：日志分析、进程分析、启动项分析、样本分析。
事件分类：根据事件的类型和影响程度对事件进行分类，并作出响应计划。
遏制：
隔离措施：采取措施隔离受影响的系统或网络，以防止事件扩散。
控制措施：实施临时控制措施以减少损害，根据响应计划，启动紧急响应模式，调集相关的人员和资源，进行紧急处理和控制事件。
取证：
证据收集：收集和保存事件相关的数据和日志，包括系统快照、网络流量、用户活动等。
溯源：
根因分析：分析事件的根本原因，包括攻击途径、工具和方法。
漏洞修复：识别并修补安全漏洞，防止类似事件的再次发生。
恢复：
系统恢复：恢复受影响的系统和服务到正常状态，确保系统功能完整性。
恢复验证：进行系统检查和测试，确保恢复后的系统安全可靠。
应急响应措施以及相关操作
文件排查：敏感目录的文件分析显示目标列表
敏感目录的文件分析 类/tmp目录，命令目录 /usr/bin /usr/sbin等。
查看开机启动项内容。
按时间排序查看指定目录下文件。
针对可疑文件可以使用stat进行创建修改时间、访问时间的详细查看，若修改时间距离事件日期接近，有线性关联，说明可能被篡改或者其他。
查找/etc/passwd文件， /etc/passwd这个文件是保存着linux系统所有用户的信息
查找~/.bash_history命令执行记录，主要分析是否有账户执行过恶意操作系统。
进程排查：实时动态地查看系统的整体运行情况，主要分析CPU和内存多的进程。
网络排查：用netstat 网络 连接命令，分析可疑端口、可疑IP、可疑PID及程序进程
信息系统排查：查看分析history ，曾经的命令操作痕迹，以便进一步排查溯源。
后门排查：通过文件内容中的危险函数，去找到网站中的web后门。最常见的Webshell文件内容中常见的恶意函数
日志排查：大部分Linux发行版默认的日志守护进程为 syslog，位于 /etc/syslog，通过cat /etc/syslog获取日志信息