众所周知,蓝队——值得就是防守方,红队——指攻击方。在HVV的时候,红方就不惜一切手段打进去,而蓝方就是维护防守设备的状况。接下来说说蓝方的各方面安全排查,思路不限。
在操作系统上来分我们可以分为Windows系统、Linux系统,所以需要确定相应的系统进行排查。
Windows入侵排查
排查端口
打开cmd(win+r),输入netstat -ano 查看所有的一个端口,主要看主要资产对公网的开放
如果存在3389,3306,22等弱口令的漏洞,需要及时向管理员确认并修改。
排查系统账号
在Windows系统里存在账号权限,在cmd(win+r)输入lusrmgr.msc,查看一个可以的账号,查看是否有隐藏或者克隆的账号
这里可以用一些小工具自动检查,比如一个D盾防火墙。再去结合日志,管理员登入时间,操作历史来判断用户是否存在异常。
排查进程管理
按住CYRL+SHIFT+ESC 打开任务管理器
查看响应的管理,进程,服务(这个一般来说当资产特别多的时候,基本处于眼花缭乱)
在CMD中输入tasklist-->>查看进程也是一种方法
查看事件信息
在(win+r)输入eventvwr.msc
查看自启动信息
一些自启动可能存在一些恶意自启动 ,在(win+r)输入services.msc
日志分析
这里我们大体分为两个方面
1.系统日志
(win+r)-->eventvwr.msc
可以看到日志信息
2.web中间件日志
找到相应的中间件日志,打包扔进响应情报威胁服务之类的就行。如果服务没啥反应,那我们看来也没啥反应
Linux入侵排查
账号
必看的两个文件
/etc/passwd
/etc/shadow
入侵排查
查询特权用户:awk -F: ‘$3==0{print $1}’ /etc/passwd 查询可以远程登录的账号:awk ‘/\$1|\$6/{print $1}’ /etc/shadow 查询具有sudo权限的账号:more /etc/sudoers | grep -v “^#\|^$” grep “ALL=(ALL)”
历史命令
掌握命令
history
入侵排查命令
cat .bash_history >> history.txt
一律打包排查
检查端口
这里和Windows命令不一样
netstat -antlp
检查进程监控
ps aux
发现异常进程
直接 kill -s 9 pid
发现异常立即导出
检查异常文件
查看敏感目录,
检查系统日志
日志默认存放位置:/var/log
--------------------------------------