网络安全之应急响应

一.响应的流程

二.分析的方向（以本人centos服务器和window10系统为演示对象模拟企业中的服务器）

1.文件分析

• find ls --full-time md5sum

find /mmin -2 最近2分钟修改过的文件

find / -mmin -2 | grep etc 最近2分钟被修改的文件并匹配关注的文件

 

ls --full-time qqbot 查看qqbot文件的修改时间

 

md5sum index.html 查看index.html文件的hash值

 

文件日期

• 文件增改

• 最近使用的文件

2.日志分析

• cat/var/log/XXX.log

LINUX的日志目录

/var/log

cat 文件名 查看文件

 

cat 文件名|grep 关键字

 

cat 文件名 |grep 关键字 |wc -l                 作用是统计

 

• LINUX系统分析

• WINDOWS系统日志分析

• 应用日志分析

  • tomcat

  • nginx

  • apache等应用日志

3.进场分析·

• top\ps\netstat -ntplu \systemctl list-unit-files\systemctl status

top 查看正在运行的CPU内存相关信息

 

netstat -ntplu                         查看正在监听的端口

 

systemctl list-unit-files                         查看开机启动的服务

 

systemctl status 服务名                         查看服务状态是否启动

 

• certutil -hashfile .\inst.ini WIN10查看哈希

  certutil -hashfile 文件名 win10系统查看文件哈希

  ipconfig /all 查看网络信息

  

   

  net user 查看用户

  

   

• CPU 或内存资源占用过多，时间过高

• 进程的路径不合法

• 正在运行的进程

• 正在运行的服务

• 正在运行的程序

• 计划任务

• 文件哈希的查看

4.身份信息分析

• 本地以及域用户

• 异常的身份验证

5.网络分析

• 网络设备配置

• DNS配置

• 路由配置

  • 监听端口和相关服务

    netstat -an

    netstat -an | more                 查看网络连接

    

     

• 最近建立的网络连接

• RDP/VPN/SSH等会话

6.配置分析

• cat\ getenforce\ iptables -L\ echo $PATH

  iptables -L                         查看iptables

  

   

• 查看Linux SE, IPTABLES等配置

  • 查看环境变量

    echo $PATH                         LINUX 查看环境变量

    

     

  • PATH windows查看环境变量

    

     

7.监控查看

• 如zabbix等监控查看

3.事件确认及分类

1.病毒，木马，蠕虫事件

2.Web服务器入侵事件

3.第三方服务入侵事件

4.个人系统入侵事件

5.网络攻击事件

4.实战演练

(注：鉴于自我保护所有部分演示没有完全展示，笔上得来终觉浅，得知此事需躬行。)