第十一次作业

最新推荐文章于 2024-09-22 13:49:16 发布

余.yv

最新推荐文章于 2024-09-22 13:49:16 发布

阅读量504

点赞数 13

文章标签：网络安全

本文链接：https://blog.csdn.net/qq_67758106/article/details/142151375

版权

文章目录

一、总结应急响应流程
- 1.什么是应急响应
- 2.流程
二、总结应急响应措施及相关操作
- 1.windows入侵检测
- 2.Linux

一、总结应急响应流程

1.什么是应急响应

应急响应流程是一种在突发事件发生时组织和协调资源、快速响应并减轻损失的计划。一个有效的应急响应流程可以帮助组织提高应对风险的能力，保障人员安全和财产。

2.流程

1.预案准备
● 确定风险场景：识别可能发生的各类安全风险，如网络攻击、系统故障、自然灾害等。
● 制定应急预案：针对不同风险场景，制定详细的应急响应预案，包括行动计划、团队职责、资源调配等。
● 培训演练：定期对预案进行培训和演练，提高应急响应团队的协同作战能力和应变能力。

2.事件研判
● 接收事件报告：及时接收来自监控系统、用户反馈或其他渠道的安全事件报告。
● 初步分析：对事件进行初步分析，判断事件类型、影响范围、严重程度等。
● 情报收集：收集与事件相关的情报信息，包括攻击者IP、攻击手法、受损情况等。

3.遏制措施
● 紧急隔离：对受影响的系统或设备进行紧急隔离，防止攻击扩散。
● 关闭服务：根据事件情况，可能需要关闭部分或全部服务，以减少损失。
● 清除恶意代码：使用杀毒软件、安全工具等手段清除系统中的恶意代码。

4.取证分析
● 收集证据：收集与事件相关的所有证据，包括日志、流量、样本等。
● 分析证据：对收集到的证据进行深入分析，还原攻击过程，确定攻击者身份和攻击目的。
● 制作报告：将分析结果整理成报告，为后续处置提供依据。

5.溯源追踪
● 追踪攻击路径：根据分析结果，追踪攻击者的攻击路径和入侵点。
● 收集攻击者信息：收集攻击者的IP地址、域名、邮箱等信息，为追踪攻击者提供线索。
● 协同处置：与相关部门和机构合作，共同追踪和打击攻击者。

6.系统恢复
● 修复漏洞：对系统中存在的漏洞进行修复，防止再次被攻击。
● 恢复服务：在确保系统安全的前提下，逐步恢复受影响的服务。
● 数据恢复：对受损的数据进行恢复，确保业务连续性。

二、总结应急响应措施及相关操作

1.windows入侵检测

1.检查系统账号安全
检查服务器是否有弱口令，远程管理端口是否公网开放。**（咨询相关服务理员)
查看服务器是否存在可疑账号、新增账号。如有则立即删除或禁用。Win+R 打开运行，输入lusrmgr.msc命令查看。

2.查看服务器是否存在隐藏账号、克隆账号。
打开注册表查看管理员对应键值
使用D盾查杀工具进行检测

3.查看日志，是否存在异常用户及登陆。
Win+R 打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”。
.检查异常端口、进程

4.检查端口连接情况，是否有远程连接、可疑连接。
查看端口对应的 PID： netstat -ano | findstr “port”。
查看进程对应的 PID：tasklist | findstr “PID”。

5.检查异常进程(进程路径是否合法、没有签名验证没有描述信息的进程、进程的属性)
Win+R 打开运行输入 msinfo32，依次点击“软件环境—>正在运行任务”就可以查看到进程的详细信息，比如进程路径、进程 ID、文件创建日期、启动时间等。
利用D盾工具、Process Explorer等工具进行排查。
查看进程对应的程序位置：运行输入 wmic，cmd界面输入 process。

6.检查启动项、计划任务、服务
Win+R 打开运行输入 msconfig，查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。
Win+R 打开运行输入 regedit，打开注册表，查看开机启动项是否正常。
利用安全软件查看启动项、开机时间管理等，任务管理器查看内存、CPU使用等。

7.检查计划任务
单击【开始】>【设置】>【控制面板】>【计划任务】，查看计划任务属性，便可以发现木马文件的路。
Win+R 打开运行输入 cmd，然后输入schtasks.exe，检查计算机与网络上的其它计算机之间的会话或计划任务，如有，则确认是否为正常连接。

8.检查服务自启动
Win+R 打开运行输入 services.msc，注意服务状态和启动类型，检查是否有异常服务。

9.检查系统相关信息
查看系统版本以及补丁信息。
打开cmd，输入 systeminfo，查看系统信息。
查找可疑目录及文件。
查看用户目录，是否有新建的用户目录。
分析最近打开的可疑文件，在服务器的各个目录查找可疑文件。

1.0日志分析
系统日志开启审核策略，遭遇攻击时可疑查看系统的日志文件，排查故障，追查入侵者信息等。
Win+R 打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”。导出应用程序日志、安全日志、系统日志，利用 Log Parser 进行分析。
web访问日志：找到中间件的web日志，打包到本地进行分析。

2.Linux

1.常用命令
网络连接：netstat -antlp
查看进程及PID ps -aux | grep httpd
文件排查：ls -al查看隐藏文件
find ./ -mtime 0 -name “*,php” 查看当前目录下24小时内修改的php文件
chattr -i 解锁文件
日志： /var/log

2.识别现象
通过系统运行状态、安全设备告警，发现主机异常现象，以及确认病毒的可疑行为。
系统CPU是否异常：CPU占用率超过70%的可疑进程就是挖矿病毒。
是否存在可疑进程：病毒一般都携带可疑的命令行。
安全网关有无报警。
有无可疑历史命令：遍历主机历史命令，查找有无恶意命令：history

3.清除病毒：
根据进程信息，定位到病毒进程或病毒文件实现清除。
清除可疑进程的进程链
定位病毒进程对应的文件路径后删除病毒文件