应急响应思路

最新推荐文章于 2024-05-20 18:30:21 发布
最新推荐文章于 2024-05-20 18:30:21 发布
阅读量245 收藏 3
点赞数
分类专栏: 应急响应 操作系统 WEB渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40806924/article/details/118281073
版权

一、基础技能及工具

1、常用方法

三要素: 时间 地点 事件 (系统、安全设备、相关应用、操作历史日志等)

回溯攻击法: 模拟攻击(使用相同手法)

经验:

1、常用目录(/tmp; /var/tmp; /dev/shm; RECYCLER)
2、管用手法(一句话木马;常见后门)
3、常见恶意程序特征

2、日志

主机: 应用程序、安全设备、系统日志

其他: IIS、Apache、Tomcat日志

3、日志ID

登录: 4625登录失败 ; 4624登录成功

事件: 拒绝访问 句柄无效 存储控制块被破坏 存储空间不足 存储地址块无效

4、常用工具

Autorouns 检测进程、服务、启动项等
procdump 对内存进行dump

待补充!

二、勒索病毒处理

1、例子

Crysis https://bbs.360.cn/thread-15782297-1-1.html
Phobos
Globelmposter
Sodinokibi
Wanna Cry

2、日志查看工具

Event log Explore
Logparser
观星平台

三、挖矿木马

1、常见挖矿木马

WananMine、 Mykings (隐匿者)、Bulehere、8220Miner、匿影、DDG、h2Miner、MinerGuard、Kworkerds、Watchdogs

2、特点

CPU占用率极高、内网漏洞咆哮式传播、蠕虫病毒

3、Windows平台漏洞利用

Weblogic
Drupal
Struts2
Think PHP
WindowServer
PHPStudy
PHPMyAdmin
MySQL
Spring Data Comments
Tomcat
MsSQL
Jekins
JBoss

4、组件利用漏洞

Docker:
Dockers未授权漏洞
Dockers逃逸
a、b、c

5、Windows排查

排查账号:lusrmgr.msc ,net user
注册表:
a、b、c

6、Linux

四、WebShel处理

1、检测

a、基于Webshell流量
b、基于Webshell文件
c、基于Webshell检测日志

2、通过Web服务器日志

IIS Apache Tomcat日志

五、网页篡改

1、隔离被感染主机
2、排查业务系统
3、确定漏洞源头、溯源分析
4、恢复数据及业务系统

六、数据泄露

七、流量劫持

八、Linux应急排查命令

1、系统信息

A、基本信息
uname -a(显示系统信息);

cat /proc/version(识别系统版本);

lsmod(list modules 列出所有模块);

B、用户信息
useradd userdel的命令时间变化(stat)

cat /etc/passwd分析可疑帐号,可登录帐号

例如: awk -F: ‘(if($3= =0)print $1)’ /etc/passwd; cat /etc/
passwdl grep ‘/bin/bash’

C、查看历史history (cat /root/.bash_ history)
a、wget远程某主机(域名&uP)的远控文件;
b、尝试连接内网某主机(ssh scp)
c、打包某敏感数据或代码,tar zip类命令
d、对系统进行配置,包括命令修改、远控木马类

ps:直接输入history会显示做过的各操作命令

D、查看启动项

/etc/rc*; /etc/init.d/rc.local; /etc/rc.local; rc.local; /etc/init.d; /etc/rc.d/rc; /etc/init/*.conf; /etc/rc$runlevel.d

E、计划任务

a、 查看当前的任务计划

crontab-I;

crontab -u root -| 是root用户下计划任务,确认是否有后[ ]木马程序启动相关信息

b、 查看etc目录任务计划相关文件:

/etc/cron.deny; /etc/crontab; /etc/cron.d; /etc/cron.daily;

/etc/cron.hourly; /etc/cron.monthly; /etc/cron.weekly

c、 查看所有用户的crontab任务

/var/spool/cron

2、进程

A、netstat网烙達接命令,示网絡状恣

例: netstat -antlp; ls- alh /proc/pidl more;

B、rm -f filename来删除木马,若root用户无法删除则判断使用-|命令

a、Isattr filename命令来查看文件属性

b、chattr -i filename命令来移除属性继而删除文件

C、存在守护进程而无法杀,进程挂起,杀守护进程,杀该进程

3、文件痕迹排查

4、日志分析

5、内存分析

6、常用Linux命令

九、Windows排查命令详解

ps:累了 晚上再写

ChungYii
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
应急响应处理
songbai220
12-12 445
应急响应 What is 应急响应对应的英文是 Incident response或emergency responcse,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。 当企业发生黑客入侵、系统崩溃货其他影响业务正常运行的安全时间是,急需第一时间进行处理,使企业的网络信息系统在最短的时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件 web入侵:网页挂马、主页篡改、webshell 系统
应急响应入门
vusida的博客
07-01 317
应急响应入门 1.应急响应是用来预防或应对一系列安全事件的发生。 常见的安全事件: 1.web入侵:挂马(植入木马)、篡改、webshell 2.系统入侵:RDP爆破、SSH爆破、主机入侵、系统异常 3.病毒木马:远程控制、后门、勒索软件 4.信息泄露:脱库、数据库非法登录 5.网络流量:批量请求、DDos攻击 排查思路一般有以下几点: 1.文件分析(文件日期、新增文件、可疑/异常文件、最近使用文件、浏览下载文件、webshell排查与分析、核心应用的关联目录文件) 2.进程分析(当前活动进程、远程连接、启
《网络安全应急响应技术实战指南》知识点总结(第10章 流量劫持网络安全应急响应
qiuqiunile_的博客
03-30 7760
一、流量劫持概述 1、流量劫持简介 是一种通过在应用系统中植入恶意代码、在网络中部署恶意设备、使用恶意软件等手段,控制客户端与服务端之间的流量通信、篡改流量数据或改变流量走向,造成非预期行为的网络攻击技术。如流氓软件、广告弹窗、网址跳转。 流量劫持的主要目的: 引流推广、钓鱼攻击、访问限制、侦听窃密。 2、常见流量劫持 1)DNS劫持 DNS是一项互联网服务,用于网站域名与IP地址的相互转换。 DNS劫持又称域名劫持,是指控制DNS查询解析的记录,在劫持的网络中拦截DNS请求,分析匹配请求域名,返回虚假IP
应急响应详解
最新发布
默默的博客
05-20 836
网络安全应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。网络安全应急响应主要是为了人们对网络安全有所认识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。在发生确切的网络安全事件时,应急响应实施人员应及时采取行动,限制事件扩散和影响的范围,防范潜在的损失与破坏。实施人员应协助用户检查所有受影响的系统,在准确判断安全事件原因的基础上,提出基于安全事件的整体解决方案,排除系统安全风险,并协助追查事件来源,协助后续处置。
某电商网站流量劫持案例分析与思考
charleslei的专栏
04-07 2879
自腾讯与京东建立了战略合作关系之后,笔者网上购物就首选京东了。某天在家里访问京东首页的时候突然吃惊地发现浏览器突然跳到了第三方网站再回到京东,心里第一个反应就是中木马了。   竟然有这样的事,一定要把木马大卸八块。     【原因排查】   首先在重现的情况下抓包,京东官网确实返回了一段JavaScript让浏览器跳转到了yiqifa.com。  
【网络安全】安全事件管理处置 — 应急响应简介
享你所想
04-25 1310
一、应急响应起源 二、应急响应基本概念 三、应急响应目标 四、应急响应流程 1.准备阶段 2.检测和分析阶段 2.1检测分析阶段,强调持续 2.2 分析阶段 3.限制、消除和恢复阶段 3.1 限制阶段 3.2 消除和恢复阶段 4.跟踪总结阶段 五、应急响应团队
一手详解完整版应急响应实战笔记
03-05
应急响应实战笔记
应急响应】Linux入侵排查思路
09-18
应急响应】Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程...
应急响应项目实战我自己的笔记
10-26
应急响应的整体思路通常基于一套系统的方法论,旨在确保在面对诸如数据泄露、网络攻击或服务中断等危机时,组织能够快速、有序地响应。首先,我们需要理解应急响应的上层指导性原则,这可能包括合规性要求,如遵循...
应急响应,从懵逼到入门.pdf
08-07
应急响应的形式 应急分类 事件分类 应急响应一般流程 如何做应急响应 入侵信息核实 排查思路 数据收集 数据分析 实战操作
[ 应急响应 ] 网络安全应急响应基础流程图 - 网络安全应急响应基础.png
02-11
[ 应急响应 ] 网络安全应急响应基础流程图 - 网络安全应急响应基础.png 整个应急响应思路详解,包含工具,非常详细,不管小白还是大佬都适用 需要原稿的,可以下载xmind源文件,可以自行丰富知识
轻松筹韩晋-业务安全应急响应新思考.pdf
11-10
韩晋在报告中可能提出了对于业务安全应急响应的一些新思路。这可能包括但不限于对传统应急响应流程的改进、引入新技术提高响应效率等。 #### 2.2 案例分析 报告中可能会提到一些具体的案例分析,通过分析这些案例...
【应急案例】一次入侵应急响应分析
Fly_鹏程万里
02-22 2383
前言 本文是前段时间处理某用户被黑的分析总结,用户被黑的表现是使用爬虫访问用户网站的首页时会出现博彩关键字,而使用正常浏览器访问时无相关的博彩关键词。这是典型的黑帽SEO的表现,针对这种技术,之前已有相关分析,感兴趣的同学可以看一看。 此次分析,发现用户的服务器被多波不同利益的黑客入侵,里面有一些比较有意思的内容,所以特意分析总结了一下。 一、概述 1、分析结果 经过分析,目前得到以下结...
应急响应—常见应急响应处置思路
浅浅的博客
12-03 6929
下图是常见应急响应处置思路的思维导图 下面将对 "常见应急响应处置思路" 进行详细的讲解 一、操作系统后门排查 排查目标:找出后门程序在哪里,找到后门是怎么启动的,尽可能发现后门修改了系统的那些地方。 Windows常见系统后门排查 1、工具列表 Pchunter 恶意代码检测工具 Process Explorer 恶意代码检测工具 Autorun...
云服务器日志4625登录验证失败
chengg0769 平淡无奇见真知
02-07 2300
最近云服务器出现这个日志错误,查了资料是有外部尝试不断登录。设置安全组合防火墙都不起作用。 找到一篇文章找下图设置解决问题 也可以用IP安全策略屏蔽到135,139,445端口。 ...
应急响应知识总结
莫黎小天
10-09 2875
应急响应流程,linux,window操作说明
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值