![](https://img-blog.csdnimg.cn/20201014180756923.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
应急响应
文章平均质量分 68
windows/linux系统应急响应处理
liujun-blog
这个作者很懒,什么都没留下…
展开
-
Linux应急响应技巧
一、故障现象linux应急响应主分为4个步骤。1、识别现象,2、清除病毒,3、闭环兜底,4、系统加固二、查看进程,用top命令按CPU降序排序。CPU利用率超过70%进程为可疑进程,大楖率是挖矿。使用ps -aux,病毒一般可疑的命令行带有url等奇怪的字符串时,就要注意了,它很可能是个病毒三、安全网关有无报警确认主机已经感染了病毒只是第一步,接下来得定位,具体是哪个进程在与C&C通信。 监控与目标IP通信的进程: while true; donetstat -antp原创 2021-05-31 15:03:55 · 956 阅读 · 0 评论 -
应急响应处置流程Windows篇
一、服务流程沟通确认安全事件在与客户第一次沟通时,应及时提醒客户对受害机器及时进行断网隔离操作。已知的安全事件包括但不限于如下:恶意代码威胁,即僵尸网络、恶意木马、蠕虫病毒、勒索病毒等恶意代码导致的安全事件高级持续性威胁(APT)攻击事件,即具有潜伏性、隐蔽性、目的性、持续性等特点的安全事件非法入侵事件,包括但不限于业务系统受到入侵致使数据泄露、丢失等;外网网站被入侵,导致网站被恶意篡改植入暗链或出现其他非法的宣传标语;服务器被入侵导致受到勒索攻击等安全事件漏洞事件,即0day公转载 2021-05-14 17:02:33 · 842 阅读 · 0 评论 -
Windows安全应急响应
一、Windows安全应急处置1、从以下几个方面进行排查windows主机(1) 是否有异常进程、用户(2) 敏感端口开放情况(3) 密码强度(4) 日志分析(5)异常启动项、服务、计划任务(6) 注册表信息(7) 其它2、进程信息使用tasklis或者打开任务管理器查看进程信息,我们可以根据CPU占用率、内存占用率、启动的事件来初步判断一下异常信息,根据PID找到异常进程。执行此命令查看进程名,路径,pid 再配合使用find或findstr就可以查到pid对应的路径了w转载 2021-05-14 16:53:35 · 2122 阅读 · 0 评论 -
应急响应的整体思路和基本流程
2018 年信息安全事件频发,信息安全的技能、人才需求大增。现在,不管是普通的企业,还是专业的安全厂商,都不可避免的需要掌握和运用好信息安全的知识、技能,以便在需要的时候,能够御敌千里。所谓养兵千日,用兵一时,拥有一支完善的团队或完整的流程,可以保障企业在出现重大安全事件时,能有条不紊的进行处置,及时把破坏范围缩小。深信服EDR安全团队,全年参与了各种重大流行病毒和安全事件的应急响应,在此,我们将团队一整年的思考和所形成的流程,共享出来,期望能给未来即将从事,或者长期从事应急响应、安全研究的人,一些启迪。转载 2021-05-14 16:14:07 · 5937 阅读 · 1 评论 -
浅谈我所理解的应急响应流程
序言 最近一直在做应急响应方面的总结,把自己之前的应急响应经验整理归档。应急响应基础流程,基本上已经完工。细节部分还在完善,现在就将整体框架拿出来做个简单分享。本文完全是笔者结合相关材料,基于多年应急响应经验进行总结整合形成,和国内指导性文件有部分差异性。应急响应随着国家信息化建设进程的加速,计算机信息系统和网络已经成为重要的基础设施。随着网络安全组件的不断增多,网络边界不断扩大,网络安全管理的难度日趋增大,各种潜在的网络信息危险因素与日俱增。虽然网络安全的保障技术也在快速发展,但实践证明,现实中再转载 2021-05-14 16:05:23 · 530 阅读 · 0 评论 -
GScan:Linux Checklist自动化检测
一、下载部署git clone https://github.com/grayddq/GScan.gitcd /GSscanpython2 Gscan.py二、CheckList的自动化检测项1、主机信息获取2、系统初始化alias检查3、文件类安全扫描3.1、系统重要文件完整行扫描3.2、系统可执行文件安全扫描3.3、临时目录文件安全扫描3.4、用户目录文件扫描3.5、可疑隐藏文件扫描4、各用户历史操作类4.1、境外ip操作类4.2、反弹shell类5、进程类安全检测原创 2021-05-14 15:45:16 · 878 阅读 · 0 评论 -
Linux应急响应技巧
一、处理Linux应急响应分为4个步骤:1、识别现象2、清除病毒3、闭环兜底4、系统加固1、识别现象通过系统运行状态、安全设备告警,发现主机异常现象,以及确认病毒的可疑行为。系统CPU是否异常top命令,CPU降序排序(输入大写P,则结果按CPU占用降序排序。输入大写M,结果按内存占用降序排序。CPU占用率超过70%且名字比较可疑的进程,大概率就是挖矿病毒了。是否存在可疑进程枚举进程命令行:ps -aux病毒一般都携带可疑的命令行,当你发现命令行中带有url等奇怪的原创 2021-05-14 14:42:39 · 343 阅读 · 0 评论 -
linux主机应急排查
一、菜单打印read -p "Press any key to continue." varecho -e "\033[34m[-]主机信息:\033[0m"# 当前用户echo -e "USER:\t\t" $(whoami) 2>/dev/null# 版本信息echo -e "OS Version:\t"`cat /etc/redhat-release`# 主机名echo -e "Hostname: \t" $(hostname -s)# uptimeecho -e "upt原创 2021-05-14 12:03:23 · 254 阅读 · 0 评论