网络安全之应急响应

应急响应是安全从业者最常见的工作之一（系统被黑后紧急救火，PDR模型-防护、检测、响应中的三大模块之一）。很多人可能认为应急响应就是发现服务器被黑之后，登录上去查后门的那段过程。 其实应急响应的完整定义为:组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施

文件分析

        find / -mmin -2查看最近两分钟什么文件被修改过

         find / -mmin -2 | grep etc 查看etc目录下2分钟被修改的文件

         ls --full-time passwd可以查看passwd文件被修改的时间

如何发现一个文件是否被修改

使用md5sum passwd 格式:<md5sum 被修改的文件名称>

未被修改过的passwd文件md5

 

修改passwd文件的md5

已经发生了变化

Linux日志分析

        /var/log/secure日志文件是安全信息和系统登录与网络连接的信息

查看登陆成功的日志 cat secure | grep success

查看登陆失败的日志 cat secure | grep failed

        /var/log/message系统报错日志

        last可以查询最近登陆成功的账户有哪些

Windows日志分析

 我的电脑->管理

 点击事件检查器->windows日志->应用程序    关注于安全日志

apache应用日志分析

日志目录/var/log/httpd

可以看见apache的错误日志,成功日志和不同时间的日志文件 

进程分析

CPU或者内存资源占用过多,时间过高

        linux使用top命令查看cpu占用资源

进程的路径不合法

        ps -ef查询进程路径是否合法

正在运行的进程

        ps -ef

正在运行的服务

        systemctl list-unit-files//开启启动服务 disabled是禁用的服务,enabled是开启的服务,static是自动的服务

正在运行的程序

        systemctl status xxx.service//查看xxx.service服务是否在运行

计划任务

        crontab -l

        查找隐藏的任务计划 cd /etc/cron.d cat里面的目录

身份信息分析

        本地以及域账户用户

                linux:cat /etc/passwd 

                windows: net user

        异常的身份验证

                linux:安全日志查看 cd /var/log cat secure | grep test

                windows:

 网络分析

        网络设备配置

                Linux:ifconfig 

                网卡配置文件 /etc/sysconfig/network-scripts/

                windows:ipconfig

        DNS配置

                Linux:cat /etc/resolv.conf

        路由配置

                Linux:route -n

        监听端口

                Linux:netstat -an