常见的应急响应事件分类:
web入侵:网页挂马、主页篡改、webshell
系统入侵:病毒木马、勒索软件、远控后门
网络攻击:ddos攻击、dns劫持、ARP欺骗
入侵排查思路
一、检查系统账号安全
1、查看服务器有无弱口令,远程管理端口是否对公网开放:据实际情况咨询相关管理员
2、查看服务器是否存在可以账号、新增账号
win+r 输入lusrmgr.msc命令,查看是否有新增/可疑账号,如有管理员组的新增账号,则删除或禁用
3、查看服务器是否存在隐藏账号、克隆账号
打开注册表,查看管理员对应键值;使用D盾_web查杀工具,集成对克隆账号检测的功能
4、结合日志,查看管理员登录时间、用户名是否存在异常
win+R 打开运行,输入"eventvwr.msc",打开事件查看器;导出Windows日志--安全,利用Log Parser进行分析
二、检测异常进程和端口
1、检查端口连接情况,是否有远程连接、可疑连接。
netstat -ano 查看目前的网络连接,定位出可疑的ESTABLISHED,根据netstat定位出的pid,再通过tasklist命令进行进程定位 tasklist | findstr "PID"
2、进程
开始-运行-输入msinfo32,点击软件环境-正在运行任务,查看进程的详细信息
打开D盾_web查杀工具,进程查看,关注没有签名信息的进程
通过微软提供的process explorer进行排查
查看可疑的进程和子进程通过观察:没有签名验证信息的进程,没有描述信息的进程,进程的属主,进程的路径是否合法, CPU或内存资源占用长时间过高的进程
3、小技巧
查看端口对应的pid: netstat -ano | findstr "port" ;查看进程对应的pid: 任务管理器-详细信息 或者 tasklist | findstr "pid"
查看进程对应的程序位置:任务管理器-选择对应的进程-右键打开文件位置;运行输入wmic,cmd输入process
查看Windows服务所对应的端口:c:\windows\system32\drivers\etc\services
三、检查启动项、计划任务、服务
1、检查服务器是否有异常的启动项
(1)登录服务器,开始-所有程序-启动,默认情况下此目录是一个空目录,确认是否有非业务程序在此目录下
(2)开始-运行-输入msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到目录中显示的路 径删除文件
(3)开始-运行-regedit 打开注册表,注意一下三个注册表项:
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
检查右侧是否有启动异常的项目,如有则删除,并建议安装杀毒软件,清除残留病毒或木马
(4)利用安全软件查看启动项、开机时间管理
(5)组策略,运行gpedit.msc
2、检查计划任务
开始-设置-控制面板-任务计划,查看计划任务属性;cmd at命令;
3、服务自启动
开始-运行 services.msc 注意服务状态和启动类型,检查是否有异常服务
四、检查sit相关信息
1、查看系统版本以及补丁 :cmd-systeminfo
2、最近打开的文件%UserProfile%\Recent
五、自动化查杀
六、日志分析
eveventvwr.msc d打开事件查看器,导出应用程序日志、安全日志、系统日志,利用log parser
web日志:Windows下用EmEditor进行日志分析,Linux下使用shell命令组合查询分析
更多应急响应内容请看《应急响应实战笔记》