网络安全之应急响应

应急响应是安全从业者最常见的工作之一(系统被黑后紧急救火,PDR模型-防护、检测、响应中的三大模块之一)。很多人可能认为应急响应就是发现服务器被黑之后,登录上去查后门的那段过程。 其实应急响应的完整定义为:组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施

文件分析

        find / -mmin -2查看最近两分钟什么文件被修改过

         find / -mmin -2 | grep etc 查看etc目录下2分钟被修改的文件

         ls --full-time passwd可以查看passwd文件被修改的时间

如何发现一个文件是否被修改

使用md5sum passwd 格式:<md5sum 被修改的文件名称>

未被修改过的passwd文件md5

 

修改passwd文件的md5

已经发生了变化

Linux日志分析

        /var/log/secure日志文件是安全信息和系统登录与网络连接的信息

查看登陆成功的日志 cat secure | grep success

查看登陆失败的日志 cat secure | grep failed

        /var/log/message系统报错日志

        last可以查询最近登陆成功的账户有哪些

Windows日志分析

 我的电脑->管理

 点击事件检查器->windows日志->应用程序    关注于安全日志

apache应用日志分析

日志目录/var/log/httpd

可以看见apache的错误日志,成功日志和不同时间的日志文件 

进程分析

CPU或者内存资源占用过多,时间过高

        linux使用top命令查看cpu占用资源

进程的路径不合法

        ps -ef查询进程路径是否合法

正在运行的进程

        ps -ef

正在运行的服务

        systemctl list-unit-files//开启启动服务 disabled是禁用的服务,enabled是开启的服务,static是自动的服务

正在运行的程序

        systemctl status xxx.service//查看xxx.service服务是否在运行

计划任务

        crontab -l

        查找隐藏的任务计划 cd /etc/cron.d cat里面的目录

身份信息分析

        本地以及域账户用户

                linux:cat /etc/passwd 

                windows: net user

        异常的身份验证

                linux:安全日志查看 cd /var/log cat secure | grep test

                windows:

 网络分析

        网络设备配置

                Linux:ifconfig 

                网卡配置文件 /etc/sysconfig/network-scripts/

                windows:ipconfig

        DNS配置

                Linux:cat /etc/resolv.conf

        路由配置

                Linux:route -n

        监听端口

                Linux:netstat -an

  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值