实训日志 day11

目录

1.总结应急响应流程（预案，研判，遏止，取证，溯源，恢复——无先后顺序，根据实际情况进行处理）

2.总结应急响应措施及相关操作

2.1 Windows系统

2.1.1 切断网络连接

2.1.2 进程和服务检查

2.1.3 查看临时文件和浏览器历史

2.1.4 系统信息检查

2.1.5 文件和目录检查

2.1.6 查看日志

2.1.7 防火墙和端口检查

2.1.8 用户和组检查

2.1.9 杀毒软件扫描

2.2 Linux系统

2.2.1 切断网络连接

2.2.2 用户和登录检查

2.2.3 进程和服务检查

2.2.4 文件和目录检查

2.2.5 查看历史命令

2.2.6 查看日志

2.2.7 端口和网络连接检查

2.2.8 防火墙和IPTABLES规则检查

2.2.9 杀毒软件和后门检查

2.2.10 清理和恢复

---

1.总结应急响应流程（预案，研判，遏止，取证，溯源，恢复——无先后顺序，根据实际情况进行处理）

      应急响应流程是一种在突发事件发生时组织和协调资源、快速响应并减轻损失的计划。一个有效的应急响应流程可以帮助组织提高应对风险的能力，保障人员安全和财产，包括预案、研判、遏止、取证、溯源和恢复等关键环节。

（1）事件预警/发现：通过安全监控系统或日志报警、告警等方式发现异常或有风险的行为。

（2）事件确认：事件预警后需要进行核实，确认事件的具体情况，确定事件的类型、影响范围、紧急程度等。

（3）事件分类：根据事件的类型和影响程度对事件进行分类，并作出响应计划。

（4）紧急响应：根据响应计划，启动紧急响应模式，调集相关的人员和资源，进行紧急处理和控制事件。

（5）事件调查：对事件进行深入分析，找出事件的成因，并根据分析结果调整相关防护策略和措施，降低风险。

（6）事件修复/恢复：恢复受影响的系统、数据和业务功能，确保业务恢复正常运作。

（7）事件总结/报告：回顾事件处理过程，总结经验教训，撰写事件报告，并需要对相关人员进行培训和宣传，提高业务人员的安全意识和技能水平。

2.总结应急响应措施及相关操作

2.1 Windows系统

2.1.1 切断网络连接

操作：如果可能，立即切断受感染机器的网络连接，以防止攻击扩散。

2.1.2 进程和服务检查

命令:

        taskmgr.exe：打开任务管理器，查看可疑进程。

        tasklist 或 ps：列出当前运行的进程。

        services.msc：打开服务管理器，查看异常服务。

2.1.3 查看临时文件和浏览器历史

操作：

        使用Everything等工具搜索temp文件夹，查看可疑临时文件。

        查看浏览器的浏览历史、下载记录、Cookies和网站数据。

2.1.4 系统信息检查

命令：msinfo32.exe：打开系统信息窗口，查看系统配置、驱动、服务等信息。

2.1.5 文件和目录检查

操作：

        使用Everything等工具搜索特定扩展名的文件（如.ps1, .vbs, .bat, .bak），这些文件常被用于恶意脚本。

        检查系统关键目录（如C:\Windows\System32）下的文件是否有异常。

2.1.6 查看日志

位置：C:\Windows\System32\winevt\Logs\

操作：使用事件查看器查看应用日志、安全日志、系统日志等，分析异常事件。

2.1.7 防火墙和端口检查

命令：

        netstat -ano：显示网络连接、监听端口及对应PID。

        firewall.cpl：打开Windows防火墙设置，检查规则。

2.1.8 用户和组检查

命令：lusrmgr.msc：打开本地用户和组管理器，检查用户账户和组设置。

2.1.9 杀毒软件扫描

操作：使用360杀毒、腾讯电脑管家、火绒安全软件等杀毒软件进行全盘扫描。

2.2 Linux系统

2.2.1 切断网络连接

操作：如果可能，立即切断受感染机器的网络连接。

2.2.2 用户和登录检查

命令：

        whoami：查看当前用户。

        who：查看当前登录系统的用户。

        w：显示已登录用户及他们正在执行的命令。

        last 和 lastb：查看最近登录成功和失败的用户信息。

2.2.3 进程和服务检查

命令：

        ps aux：查看当前运行的进程。

        pstree：以树状图显示进程。

        top：实时显示系统进程和资源占用情况。

        systemctl status：查看服务状态。

2.2.4 文件和目录检查

命令：

        find：根据名称、大小、时间等条件查找文件。

        ls -alth：显示文件和目录的详细信息。

        grep：搜索文件内容。

2.2.5 查看历史命令

命令：cat /root/.bash_history 或 cat /home/[user]/.bash_history：查看用户的历史命令。

2.2.6 查看日志

位置：/var/log/

命令：

        tail -f /var/log/messages：实时查看系统日志。

        grep 结合 awk、sed 等工具分析日志内容。

2.2.7 端口和网络连接检查

命令：

        netstat -tuln：显示监听中的端口。

        ss -tuln：另一种显示端口的方法。

        lsof：查看被进程打开的文件和网络连接。

2.2.8 防火墙和IPTABLES规则检查

命令：

        iptables -L：查看iptables规则。

        firewall-cmd --list-all（如果使用firewalld）：查看防火墙规则。

2.2.9 杀毒软件和后门检查

操作：使用如ClamAV、Rkhunter等工具进行病毒扫描和后门检查。

2.2.10 清理和恢复

操作：

        清理被黑客修改或植入的文件。

        更改密码、禁用或删除不必要的用户和组。

        升级系统和软件，修复已知漏洞。

        备份重要数据，并在必要时恢复系统。