应急响应实战总结

第三天进行了多个实战场景的入侵排查与应急响应任务，通过一系列的操作，不仅积累了宝贵的实践经验，更对网络安全防护的重要性有了深刻的认识，同时也反思了自身在操作过程中存在的不足与改进方向。

一、Web 入侵实战分析

• 在处理 /opt/tomcat8/webapps/test/ 目录下出现的 index_bak.jsp 文件问题时，我首先通过 SSH 连接到目标服务器，成功将站点源码打包并传输到本地。然后使用 D 盾扫描源代码后，发现了隐藏的木马文件，用蚁剑进行连接并且成功连上。在之后在Web 日志寻找木马访问记录时，我学会了如何从大量的日志中筛选关键信息，获取攻击者的 IP 地址，确定漏洞类型并验证漏洞，并分析攻击者的一系列行为。
• 面对 网页被篡改的情况时，我首先查看了被篡改的首页，并在网站目录中仔细寻找Webshell。确定 Webshell 类型后，使用对应工具连接，进一步确认了攻击者的入侵手段。查看 Web 日志寻找木马访问记录，对日志进行分析，获取攻击者的IP和攻击行为，继续排查日志，确认漏洞来源（info.php），并使用 Burpsuite 进行漏洞验证。

二、数据泄露实战分析

• 在 CentOS 系统公司官网数据泄露的场景中，我首先查看了 MySQL 日志，寻找脱库的 SQL 注入语句。查看 Web（Apache）日志，确认攻击者使用的攻击工具、 IP 地址以及进行的一系列行为的时间，在此过程中通过复现黑客脱库时执行的注入语句，确认数据泄露情况，让我对 SQL 注入攻击的实际效果有了直观的认识。最后下载站点源码到本地进行扫描，确认是否被植入 Webshell。
• 在处理 Ubuntu 16.04 系统数据库服务器 MySQL 服务暴力破解行为的场景中，我首先查看了 MySQL 日志，确认攻击者 IP 地址及行为。找到攻击者成功连接数据库的时间，以及脱库的开始和结束时间，确认攻击者脱库的具体内容，让我对数据泄露的严重性有了更直观的认识。继续排查日志，确认攻击者后续有无其他攻击行为。

三、主机入侵实战分析

• 在 Ubuntu 16.04 系统发现可疑账户的场景中，我首先查看了 Linux 账户文件，寻找可疑账户。这一过程让我熟悉了 Linux 系统账户管理的基本知识，能够快速识别异常账户。查看 SSH 日志，寻找 SSH 口令爆破痕迹，从日志中提取关键信息。找到攻击者完成口令爆破、成功登录系统的日志信息，以及攻击者植入的 SSH 免密登录公钥，让我逐步还原了攻击路径，
• 在 Windows Server 2008 R2 系统发现可疑文件的场景中，我首先查看了可疑文件创建的时间节点。在 Windows 事件查看器中查看对应时间节点前后的远程登录日志，确认攻击者 IP，以及继续排查日志确认攻击行为（口令爆破）和攻击开始时间，让我逐步还原了攻击过程。确认攻击者首次登录成功的时间，排查系统用户、TCP 连接（netstat 命令）、进程信息、启动项、计划任务等是否存在异常。

四、总结

在web实战入侵中，当网站或者系统被植入木马时，首先是找到webshell并通过工具进行连接，然后通过查找日志，分析攻击者的IP、攻击者利用那种漏洞进行攻击、进行了哪种攻击行为等等。数据泄露的实验中，通过查看MySQL日志进行分析，确定攻击工具、攻击者ip、攻击的一系列行为时间，复现脱库的注入语句、以及脱库的内容时间。主机入侵实战中，需要了解各个系统的基本操作命令，可以从可疑的账户、文件中查看是否有可疑的东西，然后进行日志文件的查看，从日志中分析攻击者的一系列行为，复原攻击过程。

在应急响应实战中，无论是哪一方面的实战都离不开对日志文件的分析，学会如何进行对日志文件的分析是实战中必不可少的一部分。同时也让我知道了网络安全需要及时进行维护否则会造成大量数据的泄露。当然，在实训过程中，我也发现自己存在一些不足。例如，在日志分析时，有时会遗漏一些关键信息；在处理复杂攻击场景时，分析效率有待提高；在应对新型攻击手段时，知识储备还不够丰富。之后，我会不断学习和进步。