Linux和Windows应急响应流程
一、Linux应急响应
主要流程步骤:
①识别现象-> 从客户场景的主机异常现象出发,先识别出病毒的可疑现象
②清除病毒-> 然后定位到具体的病毒进程以及病毒文件,进行清除
③闭环兜底-> 病毒一般会通过一些自启动项及守护程序进行重复感染,所以我们要执行闭环兜底确保病毒不再被创建
④系统加固-> 将主机上的病毒项清除干净后,最后就是进行系统加固了,防止病毒从Web再次入侵进来。
具体实施过程:
1、识别现象:
通过系统运行状态、安全设备告警,发现主机异常现象,以及确认病毒的可疑行为。
系统CPU是否异常:CPU占用率超过70%的可疑进程就是挖矿病毒。
是否存在可疑进程:病毒一般都携带可疑的命令行
安全网关有无报警:
有无可疑历史命令:遍历主机历史命令,查找有无恶意命令:history
2、清除病毒:
根据进程信息,定位到病毒进程或病毒文件实现清除。
清除可疑进程的进程链:
ps -elf | grep [pid]
kill -9 [pid]
删除病毒文件
定位病毒进程对应的文件路径:
ls -al /proc/[pid]/exe
rm -f [exe_path]
3、闭环兜底
检查是否存在可疑定时任务
枚举定时任务:
crontab -l
查看anacron异步定时任务:
cat /etc/anacrontab
检查是否存在可疑服务
枚举主机所有服务,查看是否有恶意服务:
service --status-all
检查系统文件是否被劫持
枚举系统文件夹的文件,按修改事件排序查看7天内被修改过的文件:
find /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime +7 | xargs ls -la
检查是否存在病毒守护进程
监控守护进程的行为:
lsof -p [pid]
扫描是否存在恶意驱动:
枚举/扫描系统驱动:lsmod
使用chkrootkit 进行扫描:
4、系统加固
Linux平台下90%的病毒是通过网络传播感染的,所以,主机之所以会感染病毒,大部分原因也是因为Web安全防护不够。
修改SSH弱密码:
**添加命令审计:**为历史的命令增加登录的IP地址、执行命令时间等信息:
打上常见Web漏洞补丁
******Linux平台下的恶意软件威胁以僵尸网络蠕虫和挖矿病毒为主,由于Linux大多作为服务器暴露在公网,且Web应用的漏洞层出不穷,所以很容易被大范围入侵,如常见的病毒:DDG、systemdMiner、BillGates、watchdogs、XorDDos,在很多Linux上都有。大家要养成不使用弱密码、勤打补丁的好习惯。
二、windows应急响应
常见的应急响应事件分类:
Web入侵:网页挂马,主页篡改,webshell
系统入侵:病毒木马,勒索软件,远控后门
网络攻击:DDOS攻击,DNS劫持,ARP欺骗
入侵排查思路
一、检查系统账号安全
1、检查服务器是否有弱口令,远程管理端口是否公网开放。(咨询相关服务管理员)
2、查看服务器是否存在可疑账号、新增账号。如有则立即删除或禁用。
Win+R 打开运行,输入lusrmgr.msc命令查看
3、查看服务器是否存在隐藏账号、克隆账号
①打开注册表查看管理员对应键值②使用D盾查杀工具进行检测
4、查看日志,是否存在异常用户及登陆
Win+R 打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。
二、检查异常端口、进程
1、检查端口连接情况,是否有远程连接、可疑连接
a、查看端口对应的 PID: netstat -ano | findstr “port”
b、查看进程对应的 PID:任务管理器–查看–选择列–PID 或者 tasklist | findstr “PID”
2、检查异常进程(进程路径是否合法、没有签名验证没有描述信息的进程、进程的属性)
①Win+R 打开运行 输入 msinfo32,依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息,比如进程路径、进程 ID、文件创建日期、启动时间等。
②利用D盾工具、Process Explorer等工具进行排查
③查看进程对应的程序位置:运行输入 wmic,cmd界面 输入 process
三、检查启动项、计划任务、服务
1、检查服务是否有异常的启动项
①Win+R 打开运行 输入 msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。
②Win+R 打开运行 输入 regedit,打开注册表,查看开机启动项是否正常
③利用安全软件查看启动项、开机时间管理等,任务管理器查看内存、CPU使用等
2、检查计划任务
①单击【开始】>【设置】>【控制面板】>【任务计划】,查看计划任务属性,便可以发现木马文件的路
②Win+R 打开运行 输入 cmd,然后输入schtasks.exe,检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接。
3、检查服务自启动
Win+R 打开运行 输入 services.msc,注意服务状态和启动类型,检查是否有异常服务。
四、检查系统相关信息
1、查看系统版本以及补丁信息
Win+R 打开运行,输入 systeminfo,查看系统信息
2、查找可疑目录及文件
①查看用户目录,是否有新建的用户目录
②分析最近打开的可疑文件,在服务器的各个目录查找可疑文件
五、自动化查杀:
1、病毒查杀
使用安全软件更新病毒库,进行全盘扫描
2、webshell查杀
选择具体站点路径进行webshell查杀,可使用两种查杀工具同时查杀
六、日志分析:
1、系统日志
①、开启审核策略,遭遇攻击时可疑查看系统的日志文件,排查故障,追查入侵者信息等。
②、Win+R 打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。导出应用程序日志、安全日志、系统日志,利用 Log Parser 进行分析
2、web访问日志
找到中间件的web日志,打包到本地进行分析
七、对系统进行防御加固
定期全盘扫描、备份重要文件、升级病毒库、及时更新web漏洞补丁,升级web组件等。
3918
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
