关于应急响应
安全事件分类
web入侵:挂马、篡改、Webshell
系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞
病毒木马:远控、后门、勒索软件
信息泄露:脱库、数据库登录(弱口令)
网络流量:频繁发包、批量请求、DDOS攻击
安全事件分级
一级事件----特别重大突发事件
网络大面积中断
主要业务大规模瘫痪
大规模用户/业务数据泄露
二级事件----重大突出事件
大规模主机入侵
大规模业务数据损坏
小规模数据泄露
政治敏感事件:官网挂黑页
三级事件----较大突发事件
部分业务系统遭受入侵
主要业务遭受DDOS
四级事件----一般突发事件
部分业务系统宕机
部分业务系统异常/无法访问
安全响应执行流程
事件发生(运维监控人员、客服审核人员)发现问题的开始,及时通报
事件确认:判断事件的严重性,评估出问题的严重等级,是否向上进行汇报
事件响应:各部门通力合作,处理安全问题 ,具体解决阶段
事件关闭:处理完事件之后,需要关闭事件,并写出安全应急处理分析报告,完成整个应急过程
被入侵的主机排查流程
定位被入侵的主机并且立即对该主机进行断网隔离
确定攻击类型
确定被入侵的时间范围
定位恶意文件和入侵痕迹
溯源入侵来源
清理恶意文件/修复漏洞
事件复盘
被入侵的主机排查方法
检测补丁情况:看看有没有打了最新的补丁,看看是不是用漏洞搞进来的
systeminfo | uname -a
日志分析:定位入侵路线,是系统配置出了问题(ssh 弱口令,域管理员hash 泄漏)还是WEB 服务出了问题(传马,WEB 漏洞利用)
eventvwr | /var/log , .bash_history
access.log mysql_log.log
账户信息:先看看是不是帐户有弱口令,再看看用户的登录时间,也观察一下有没有给留后门账户
quser | who last
进程分析:定位一下看看有没有运行恶意进程
procxp , pchunter | ps -aux , chkrootkit , rkhunter
文件分析:找找Shell 和后门,看看这个是什么样的Shell
lchangedfiles | find / -ctime -1 -print
系统分析:计划任务,自启动服务等
Linux :
history (cat /root/.bash_history) 查看执行过的命令,排查和溯源
/etc/passwd 分析用户
awk -F: ‘{if($3==0)print $1}’ /etc/passwd 查看UID 为0 的帐号
cat /etc/passwd | grep -E “/bin/bash$” 查看可以登录的帐号
crontab /etc/cron* 查看计划任务
rc.local /etc/init.d chkconfig 查看Linux 自启动程序
last 查看最近用户登录信息
lastb 查看最近用户登录错误信息
$PATH 系统路径环境变量
strings 提取字符串
Windows :
查看系统变量
Windows 计划任务
Windows 帐号信息
SAM 文件
Windows-Exploit-Suggester