关于应急响应

关于应急响应

安全事件分类

web入侵：挂马、篡改、Webshell

系统入侵：系统异常、RDP爆破、SSH爆破、主机漏洞

病毒木马：远控、后门、勒索软件

信息泄露：脱库、数据库登录（弱口令）

网络流量：频繁发包、批量请求、DDOS攻击

安全事件分级

一级事件----特别重大突发事件

网络大面积中断

主要业务大规模瘫痪

大规模用户/业务数据泄露

二级事件----重大突出事件

大规模主机入侵

大规模业务数据损坏

小规模数据泄露

政治敏感事件：官网挂黑页

三级事件----较大突发事件

部分业务系统遭受入侵

主要业务遭受DDOS

四级事件----一般突发事件

部分业务系统宕机

部分业务系统异常/无法访问

安全响应执行流程

事件发生（运维监控人员、客服审核人员）发现问题的开始，及时通报

事件确认：判断事件的严重性，评估出问题的严重等级，是否向上进行汇报

事件响应：各部门通力合作，处理安全问题 ，具体解决阶段

事件关闭：处理完事件之后，需要关闭事件，并写出安全应急处理分析报告，完成整个应急过程

被入侵的主机排查流程

定位被入侵的主机并且立即对该主机进行断网隔离

确定攻击类型

确定被入侵的时间范围

定位恶意文件和入侵痕迹

溯源入侵来源

清理恶意文件/修复漏洞

事件复盘

被入侵的主机排查方法

检测补丁情况:看看有没有打了最新的补丁,看看是不是用漏洞搞进来的

• systeminfo | uname -a

日志分析:定位入侵路线,是系统配置出了问题(ssh 弱口令,域管理员hash 泄漏)还是WEB 服务出了问题(传马,WEB 漏洞利用)

• eventvwr | /var/log , .bash_history

• access.log mysql_log.log

账户信息:先看看是不是帐户有弱口令,再看看用户的登录时间,也观察一下有没有给留后门账户

• quser | who last

进程分析:定位一下看看有没有运行恶意进程

• procxp , pchunter | ps -aux , chkrootkit , rkhunter

文件分析:找找Shell 和后门,看看这个是什么样的Shell

• lchangedfiles | find / -ctime -1 -print

系统分析:计划任务,自启动服务等

Linux :

history (cat /root/.bash_history) 查看执行过的命令,排查和溯源

/etc/passwd 分析用户

awk -F: ‘{if($3==0)print $1}’ /etc/passwd 查看UID 为0 的帐号

cat /etc/passwd | grep -E “/bin/bash$” 查看可以登录的帐号

crontab /etc/cron* 查看计划任务

rc.local /etc/init.d chkconfig 查看Linux 自启动程序

last 查看最近用户登录信息

lastb 查看最近用户登录错误信息

$PATH 系统路径环境变量

strings 提取字符串

Windows :

查看系统变量

Windows 计划任务

Windows 帐号信息

SAM 文件

Windows-Exploit-Suggester