常见入侵
1、挖矿
表象:CPU增高、可疑定时任务、外联矿池IP。
告警:威胁情报(主要)、Hids、蜜罐(挖矿扩散时触发)
动作:通过CPU确认异常情况→ 确认可疑进程 → 检查定时任务、
主机服务、守护进程→结束病毒进程,删除病毒文件->加固。
2、Webshell
表象:业务侧应用逻辑漏洞(允许上传脚本等造成命令执行)或者开源软件低版本造成(fastjson等)导致,
通常为反弹shell、高危命令执行,同时存在内网入侵、恶意程序传播、数据盗取等行为。
告警:Hids(主要)、流量监控设备
动作:确认Webshell文件内容与可用性→ 酌情断网,摘掉公网出口IP→ 通过日志等确认Webshell文件访问记录→ 确定Webshell入侵来源,
是业务逻辑漏洞导致、开源组件漏洞还是弱口令与未授权等情况导致 →排查应用其他机器情况,
全盘扫描Webshell文件→ 缩容机器,修复相关问题重新恢复应用开放。
3、内网入侵
表象:以入侵的跳板机为源头进行端口扫描、SSH爆破、内网渗透操作、域控攻击等。
告警:Hids(主要)、蜜罐、域控监控(ATA等)
动作:确定入侵边界再进行处理,通常蜜罐等存在批量扫描爆破记录,需登录前序遭入侵机器确认情况,方便后续批量处理。
进程相关
1.查询可疑端口、进程、ip:<