资料:
https://www.cnblogs.com/bmjoker/p/9483729.html
https://www.freebuf.com/vuls/175560.html
资料
辅助工具
下面对资料进行整理补充
常见的应急响应事件分类:
web入侵:网页挂马、主页篡改、Webshell
系统入侵:病毒木马、勒索软件、远控后门
网络攻击:DDOS攻击、DNS劫持、DNS污染、ARP欺骗
lusrmgr.msc
:打开本地用户的组
eventvwr.msc
:打开“事件查看器”。
msinfo32
:打开 “系统信息”
services.msc
:打开服务
regedit
: 打开注册表
gpedit.msc
:组策略编辑器
systeminfo
:系统信息及补丁情况
taskschd.msc
:打开计划任务
1.1 系统账户相关
注意事项:弱口令、22/3389 等端口是否对外
查看账号的方法:
- net user(无法列出$用户)
- lusrmgr.exe(无法找到注册表方式建立的用户)
- 查看注册表(最准)HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\
- D 盾有查看账户的功能
1.2 进程端口
查看开放的端口:netstat -ano
重点看状态是 ESTABLISHED 的端口:netstat -ano | findstr ‘estab’
查看路由:netstat -rn
查看系统信息:msinfo32,依次点击 软件环境→正在运行任务,可以看到当前的进程
netstat -ano
:查看网络连接
tasklist | findstr “PID”
:进程定位
wnic
可以得到进程的可执行文件位置等信息:
wmic process get caption,commandline /value
具体某个进程可执行文件位置
wmic process where caption=”进程名” get caption,commandline /value
强制杀死pid=445的进程以及子进程taskkill /f /t /pid 445
可疑进程:
没有描述信息的进程
进程的属主
进程的路径是否合法
CPU或内存资源占用长时间过高的进程
1.3 启动项、计划任务、服务
1、任务管理器 > 启动
注册表的启动项:
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
2、cmd 输入:taskschd.msc
打开计划任务 注意查看状态和触发器
或者 控制面板>管理工具>计划任务程序
cmd 输入 at 或者 schtasks.exe 也可以
3、services.msc
打开服务
注意服务状态和启动类型,检查是否有异常服务。
4、得到发现WEBSHELL、远控木马的创建时间,如何找出同 一时间范围内创建的文件?
a、利用 Registry Workshop 注册表编辑器的搜索功能,可以 找到最后写入时间区间的文件。
b、利用计算机自带文件搜索功能,指定修改时间进行搜索。
日志分析
系统日志
分析方法:
a、前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵
者的信息等。
b、Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。 C、导出应用程序日志、安全日志、系统日志,利用Log Parser进行分析。
WEB访问日志
分析方法:
a、找到中间件的web日志,打包到本地方便进行分析。
b、推荐工具:Window下,推荐用 EmEditor 进行日志分析,支持大文本,搜索效率还不错。
Linux下,使用Shell命令组合查询分析
log parser 分析windows系统日志:
将LogParser.exe 放在 C:\windows\system32 文件夹下
在cmd执行命令:
LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM '导出的日志文件路径' WHERE EventID=4798"
输出:
C:\Users\dapeng\Desktop>LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM '12212.evtx' WHERE EventID=4798"
TimeGenerated USERNAME SERVICE\_NAME Client_IP
------------------- ------------- ---------------------------------------------- ---------
2020-03-04 14:50:08 Administrator S-1-5-21-3440793402-2065120590-3265978168-500 WORKGROUP
2020-03-04 14:50:08 dapeng S-1-5-21-3440793402-2065120590-3265978168-1001 WORKGROUP
2020-03-04 14:50:08 Administrator S-1-5-21-3440793402-2065120590-3265978168-500 WORKGROUP
2020-03-04 14:50:08 dapeng S-1-5-21-3440793402-2065120590-3265978168-1001 WORKGROUP
2020-03-04 14:50:11 Administrator S-1-5-21-3440793402-2065120590-3265978168-500 WORKGROUP
2020-03-04 14:50:11 dapeng S-1-5-21-3440793402-2065120590-3265978168-1001 WORKGROUP
2020-03-04 14:50:11 Administrator S-1-5-21-3440793402-2065120590-3265978168-500 WORKGROUP
2020-03-04 14:50:11 dapeng S-1-5-21-3440793402-2065120590-3265978168-1001 WORKGROUP
2020-03-04 14:50:11 Administrator S-1-5-21-3440793402-2065120590-3265978168-500 WORKGROUP
2020-03-04 14:50:11 dapeng S-1-5-21-3440793402-2065120590-3265978168-1001 WORKGROUP
Press a key...
登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4624"
指定登录时间范围的事件:
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"
提取登录成功的用户名和IP:
LogParser.exe -i:EVT –o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:\Security.evtx where EventID=4624"
登录失败的所有事件:
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4625"
提取登录失败用户名进行聚合统计:
LogParser.exe -i:EVT "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:\Security.evtx where EventID=4625 GROUP BY Message"
LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"
常见事件ID
ID | 事件 |
---|---|
1102 | 清理审计日志 |
4624 | 账号登陆成功 |
4625 | 账号登陆失败 |
4672 | 授予特殊权限 |
4720 | 创建用户 |
4726 | 删除用户 |
4728 | 将成员添加到启用安全的全局组中 |
4729 | 将成员从安全组移除 |
4732 | 将成员添加到启用安全的本地组中 |
4733 | 将成员从启用安全的本地组移除 |
4756 | 将成员添加到启用安全的通用组中 |
4757 | 将成员从启用安全的通用组中移除 |
4719 | 系统审计策略修改 |
常见登陆类型:
类型 | ||
---|---|---|
2 | 交互式登陆 | (用户从控制台登陆) |
3 | 网络 | (比如通过net use,访问共享网络、共享文件夹) |
4 | 批处理 | (计划任务) |
5 | 服务启动 | (服务启动时,win会先创建一个新的登陆会话) |
6 | 不支持 | |
7 | 解锁 | (锁屏解锁) |
8 | 网络明文 | (IIS服务器登陆验证) |
9 | 新凭证 | (使用带/netonly 参数的runas命令允许程序时) |
10 | 远程交互 | (终端服务、远程桌面、远程辅助) |
11 | 缓存域证书登陆 |