HVV蓝队之入侵排查

众所周知，蓝队——值得就是防守方，红队——指攻击方。在HVV的时候，红方就不惜一切手段打进去，而蓝方就是维护防守设备的状况。接下来说说蓝方的各方面安全排查，思路不限。

在操作系统上来分我们可以分为Windows系统、Linux系统，所以需要确定相应的系统进行排查。

Windows入侵排查

排查端口

打开cmd（win+r），输入netstat  -ano 查看所有的一个端口，主要看主要资产对公网的开放

 如果存在3389，3306，22等弱口令的漏洞，需要及时向管理员确认并修改。

 排查系统账号

在Windows系统里存在账号权限，在cmd（win+r）输入lusrmgr.msc,查看一个可以的账号，查看是否有隐藏或者克隆的账号

 这里可以用一些小工具自动检查，比如一个D盾防火墙。再去结合日志，管理员登入时间，操作历史来判断用户是否存在异常。

排查进程管理

按住CYRL+SHIFT+ESC 打开任务管理器

查看响应的管理，进程，服务（这个一般来说当资产特别多的时候，基本处于眼花缭乱）

---

在CMD中输入tasklist-->>查看进程也是一种方法

 查看事件信息

在（win+r）输入eventvwr.msc

 查看自启动信息

一些自启动可能存在一些恶意自启动 ，在（win+r）输入services.msc

日志分析

这里我们大体分为两个方面

1.系统日志

（win+r）-->eventvwr.msc

可以看到日志信息

2.web中间件日志

找到相应的中间件日志，打包扔进响应情报威胁服务之类的就行。如果服务没啥反应，那我们看来也没啥反应

Linux入侵排查

账号

必看的两个文件

/etc/passwd

/etc/shadow

入侵排查

查询特权用户：awk -F: ‘$3==0{print $1}’ /etc/passwd
查询可以远程登录的账号：awk ‘/\$1|\$6/{print $1}’ /etc/shadow
查询具有sudo权限的账号：more /etc/sudoers | grep -v “^#\|^$” grep “ALL=(ALL)”

历史命令 

掌握命令

history

 入侵排查命令

cat .bash_history >> history.txt

一律打包排查

检查端口

这里和Windows命令不一样

netstat -antlp

检查进程监控

ps aux

发现异常进程

直接    kill -s 9 pid

发现异常立即导出

检查异常文件

查看敏感目录，

 检查系统日志

日志默认存放位置：/var/log

--------------------------------------