应急响应是安全从业者最常见的工作之一(系统被黑后紧急救火,PDR模型-防护、检测、响应中的三大模块之一)。很多人可能认为应急响应就是发现服务器被黑之后,登录上去查后门的那段过程。 其实应急响应的完整定义为:组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
文件分析
find / -mmin -2查看最近两分钟什么文件被修改过
find / -mmin -2 | grep etc 查看etc目录下2分钟被修改的文件
ls --full-time passwd可以查看passwd文件被修改的时间
如何发现一个文件是否被修改
使用md5sum passwd 格式:<md5sum 被修改的文件名称>
未被修改过的passwd文件md5
修改passwd文件的md5
已经发生了变化
Linux日志分析
/var/log/secure日志文件是安全信息和系统登录与网络连接的信息
查看登陆成功的日志 cat secure | grep success
查看登陆失败的日志 cat secure | grep failed
/var/log/message系统报错日志
last可以查询最近登陆成功的账户有哪些
Windows日志分析
我的电脑->管理
点击事件检查器->windows日志->应用程序 关注于安全日志
apache应用日志分析
日志目录/var/log/httpd
可以看见apache的错误日志,成功日志和不同时间的日志文件
进程分析
CPU或者内存资源占用过多,时间过高
linux使用top命令查看cpu占用资源
进程的路径不合法
ps -ef查询进程路径是否合法
正在运行的进程
ps -ef
正在运行的服务
systemctl list-unit-files//开启启动服务 disabled是禁用的服务,enabled是开启的服务,static是自动的服务
正在运行的程序
systemctl status xxx.service//查看xxx.service服务是否在运行
计划任务
crontab -l
查找隐藏的任务计划 cd /etc/cron.d cat里面的目录
身份信息分析
本地以及域账户用户
linux:cat /etc/passwd
windows: net user
异常的身份验证
linux:安全日志查看 cd /var/log cat secure | grep test
windows:
网络分析
网络设备配置
Linux:ifconfig
网卡配置文件 /etc/sysconfig/network-scripts/
windows:ipconfig
DNS配置
Linux:cat /etc/resolv.conf
路由配置
Linux:route -n
监听端口
Linux:netstat -an