Windows、Linux 应急响应

最新推荐文章于 2024-08-11 15:43:24 发布

星辰流炎

最新推荐文章于 2024-08-11 15:43:24 发布

阅读量435

点赞数

分类专栏：应急响应文章标签： linux java 运维数据库 python

本文链接：https://blog.csdn.net/tryheart/article/details/110201566

版权

应急响应专栏收录该内容

5 篇文章 1 订阅

订阅专栏

Windows

系统账号安全

1、查看服务器是否有弱口令，远程管理端口是否对公网开放。
检查方法：据实际情况咨询相关服务器管理员。

2、查看服务器是否存在可疑账号、新增账号。
检查方法：打开 cmd 窗口，输入
lusrmgr.msc
查看是否有新增/可疑的账号，如有管理员群组的（Administrators）里的新增账户，如有，请立即禁用或删除掉。

3、查看服务器是否存在隐藏账号、克隆账号。
检查方法1：
a.打开注册表，cmd输入 regedit
b.选择 HKEY_LOCAL_MACHINE/SAM/SAM，默认无法查看该选项内容，右键菜单选择权限，打开权限管理窗口；
c.选择当前用户（一般为 administrator），将权限勾选为完全控制，然后确定。关闭注册表编辑器；
d.再次打开注册表编辑器，即可选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users；
e.在 Names 项下可以看到实例所有用户名，如出现本地账户中没有的账户，即为隐藏账户，在确认为非系统用户的前
提下，可删除此用户。

检查方法2：
使用工具，比如D盾_web，集成了对克隆账号的检测

4、查看登录日志是否异常。
cmd输入“eventvwr.msc”，或者搜索打开“事件查看器”可以人工看日志，也可以将日志导出使用日志分析工具进行分析。主要查看登陆时间，用户名一否异常。

windows日志分析工具推荐“Log Parser”

异常进程端口检查

1、查看异常连接和异常端口。
a.cmd输入“netstat -ano”，可以看到对应的端口连接以及进程号
b.输入“tasklist”或者打开任务管理器，根据上一步找到的PID可以直接定位进程
tasklist |findstr “550”

2、异常进程排查。
a.cmd输入msinfo32，依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息，比如进程路径、进程ID、文件创建日期、启动时间等。
b.查看可疑的进程及其子进程，主要审核以下内容：
没有签名验证信息的进程
没有描述信息的进程
进程的属主
进程的路径是否合法
CPU或内存资源占用长时间过高的进程
c.除人工外，还可通过微软官方提供的 Process Explorer ,或者其他工具如D盾，安全狗等工具进行排查,重点关注没有签名信息的进程。

异常启动项、计划任务

1、检查异常启动项。
a、登录服务器，单击【开始】>【所有程序】>【启动】，默认情况下此目录在是一个空目录，确认是否有非业务程序在该目录下。
b、cmd输入 msconfig，查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。
c、cmd输入 regedit，打开注册表，查看开机启动项是否正常，特别注意如下三个注册表项：
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
检查右侧是否有启动异常的项目，如有请删除，并建议安装杀毒软件进行病毒查杀，清除残留病毒或木马。
d、利用安全工具查看启动项，开机时间管理等，比如360管家，火绒。

2、检查异常启动项。
e、cmd运行“gpedit.msc”，查看组策略中的脚本项，是否有可疑脚本

3、检查计划任务
a、单击【开始】>【设置】>【控制面板】>【任务计划】，查看计划任务属性，便可以发现木马文件的路径。
b、单击【开始】>【运行】；输入 cmd，然后输入at，检查计算机与网络上的其它计算机之间的会话或计划任务，如有，则确认是否为正常连接。
c、单击【开始】>【运行】，输入services.msc，注意服务状态和启动类型，检查是否有异常服务。

检查系统可疑文件

1、查看系统版本以及补丁信息
cmd输入systeminfo，查看系统信息

2、查找可疑目录及文件
a、查看用户目录，新建账号会在这个目录生成一个用户目录，查看是否有新建用户目录。
Window 2003 C:\Documents and Settings
Window 2008R2 C:\Users
b、单击【开始】>【运行】，输入%UserProfile%\Recent，分析最近打开分析可疑文件。
c、在服务器各个目录，可根据文件夹内文件列表时间进行排序，查找可疑文件。
d、回收站、浏览器下载目录、浏览器历史记录
e、修改时间在创建时间之前的为可疑文件

3、得到发现WEBSHELL、远控木马的创建时间，如何找出同一时间范围内创建的文件？
a、利用注册表编辑工具Registry Workshop 注册表编辑器的搜索功能，可以找到最后写入时间区间的文件。
b、利用计算机自带文件搜索功能，指定修改时间进行搜索。

Linux

系统账号安全

1、查看用户信息，是否存在可疑账户
“cat /etc/passwd”

2、查看用户密码文件，主要观察密码修改最后日期，密码修改间隔是否合规
“cat /etc/shadow”
举例：
root: $6$ oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1Wpk
opY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留

3、其它相关基础命令:
who 查看当前登录用户（tty本地登陆 pts远程登录）
w 查看系统信息，想知道某一时刻用户的行为
uptime 查看登陆多久、多少用户，负载

4、入侵排查
a、查询特权用户特权用户,正常情况下只有1个root账户
awk -F: ‘$3==0{print $1}’ /etc/passwd
b、查询可以远程登录的帐号信息,查看是否存在白名单之外的账号
awk '/$1|$6/{print $KaTeX parse error: Expected 'EOF', got '}' at position 2: 1}̲' /etc/shadow c\dots$ " | grep “ALL=(ALL)”
d、禁用或删除多余及可疑的帐号
usermod -L user 禁用帐号，帐号无法登录，/etc/shadow第二栏为!开头
userdel user 删除user用户
userdel -r user 将删除user用户，并且将/home目录下的user目录一并删除

历史命令查看

1、查看帐号执行过的系统命令
打开/home各帐号目录下的.bash_history，查看各个帐号的历史命令
cat .bash_history
root用户直接输入 history

2、优化历史命令

正常情况的历史命令只有命令，没有其他参数。因此需要优化一下
为历史的命令增加登录的IP地址、执行命令时间等信息：
1）保存1万条命令
sed -i ‘s/^HISTSIZE=1000/HISTSIZE=10000/g’ /etc/profile
**2）**在/etc/profile的文件尾部添加如下行数配置信息：
######jiagu history xianshi#########
USER_IP=who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'
if [ “$USER_IP” = “” ]
then
USER_IP=hostname
fi
export HISTTIMEFORMAT="%F %T $USER_IP whoami "
shopt -s histappend
export PROMPT_COMMAND=“history -a”
######### jiagu history xianshi ##########
3）source /etc/profile让配置生效

异常端口和进程检查

1、查看异常连接
netstat -anplt|more

2、查看进程PID对应文件路径
ls -l /proc/ $P I D / e x e （$ PID 为对应的pid 号）
或者
file /proc/ $P I D / e x e （$ PID 为对应的pid 号）

3、查看异常进程
ps –aux|grep $PID

开机启动项和定时任务

1、开启启动检查
a. 查看开机启动项，查看是否有计划外的开机启动命令
cat /etc/rc.local
b.查看启动软连接
ls -l /etc/rc.d/rc3.d/(/etc/rc.d/rc[0~6].d 中的数字代表系统运行级别，3表示完全命令行模式)

在这里插入图片描述

当我们需要开机启动自己的脚本时，只需要将可执行脚本丢在/etc/init.d目录下，然后在
/etc/rc.d/rc*.d中建立软链接即可

2、检查定时任务
a. crontab命令,列出某个用户cron服务的详细内容
crontab -l
默认编写的crontab文件会保存在 (/var/spool/cron/用户名例如: /var/spool/cron/root
b. 重点观察一下目录或文件下是否存在恶意脚本
/var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*

查看安装的服务和安装包

1、RPM安装的服务包(大多是CENTOS)
chkconfig --list 查看服务自启动状态，可以看到所有的RPM包安装的服务
ps aux | grep crond 查看当前服务

2、源码包安装的服务
查看服务安装位置，一般是在/user/local/
service httpd start
搜索/etc/rc.d/init.d/ 查看是否存在

3、dpkg安装包
dpkg –V 检查软件包,查看是否存在被黑客替换感染过的危险文件
readelf -d 恶意文件使用readelf找到到感染文件对应的编译路径，删除既可

检查系统可疑文件

1、查看敏感目录，
如/tmp目录下的文件，同时注意隐藏文件夹，以“…”为名的文件夹具有隐藏属性

2、得到发现WEBSHELL、远控木马的创建时间，如何找出同一时间范围内创建的文件？
可以使用find命令来查找，如
find /opt -iname “*” -atime 1 -type f 找出 /opt 下一天前访问过的文件

3、针对可疑文件可以使用stat查看修改时间
stat filename

atime:访问时间，读取文件或者执行文件时会更改，命令如cat,vi
mtime:修改时间，文件的内容被改变时，就会更改，如vi
ctime:改变时间，文件的标签如属性、用户、用户组、权限、内容等被改变时，就会更改，如chmod,chown,vi

Linux应急排查工具推荐

1、Rootkit查杀
rkhunter
网址：http://rkhunter.sourceforge.net
使用方法：
Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter1.4.4.tar.gz
tar -zxvf rkhunter-1.4.4.tar.gz
cd rkhunter-1.4.4
./installer.sh --install
rkhunter -c

2、RPM检查
系统完整性可以通过rpm自带的-Va来校验检查所有的rpm软件包，查看哪些命令是否被替换了：
./rpm -Va > rpm.log
文件提取还原案例：
rpm -qf /bin/ls 查询ls命令属于哪个软件包
mv /bin/ls /tmp 先把ls转移到tmp目录下，造成ls命令丢失的假象
rpm2cpio /mnt/cdrom/Packages/coreutils-8.4-19.el6.i686.rpm | cpio -idv ./bin/ls 提取rpm包中ls命
令到当前目录的/bin/ls下
cp /root/bin/ls /bin/ 把ls命令复制到/bin/目录修复文件丢失