文章详细阐述了一种网络安全事件的处理流程,包括网站和文件被篡改或丢失、系统异常、流量问题、第三方服务异常等表现,以及收集系统信息、分析攻击类型、利用日志和各种工具进行追查、修复漏洞和推荐使用的安全工具等步骤。
保护—分析-复现-修复-建议
1.表现
Ⅰ.网站:
①篡改
②丢失
③乱码
Ⅱ.文件:
①篡改
②丢失
③泄露
Ⅲ.系统:
①系统卡顿
②cpu爆满
③服务宕机
Ⅳ.流量:
①大量数据包
②多个外部连接
③网络网速卡顿
Ⅴ.第三方:
①服务异常
②运行异常
2.收集(win&linux&mac):
Ⅰ.对外服务
Ⅱ.开放端口
Ⅲ.系统版本
Ⅳ.网络环境
Ⅴ.漏洞情况
Ⅵ.软件平台
Ⅶ.口令整理
Ⅷ.有无防护
3.攻击:
Ⅰ.web:
①漏洞攻击
②结合攻击
③流量攻击
Ⅱ.第三方:
①数据库:
1)mysql:小公司小网站使用的,
开启日志命令:
show variables like '%general%';
set global general_log='on';--windows
set global general_log_file='/var/lib/mysql/mysql.log'--linux
2)mssql
②远程软件
③服务平台
Ⅲ.操作系统:
①权限提升
②内网渗透
③远程漏洞
4.追查:(根据表现选择最佳方法)
Ⅰ.日志分析(最主要的)
①中间件的日志
apache的logs/
②windows上的系统日志
事件查看器
③linux上的系统日志
/var/log
④日志工具:
360星图,蓝队工具-splunk,elk
Ⅱ.后门分析
可以用河马查杀工具,hkkvjuvffo工具
Ⅲ.流量分析
Ⅳ. 脚本软件分析
userassisview,文件使用记录
Ⅴ.模拟渗透分析
5.修复
6.工具:
(1)先知社区的应急响应大合集
(2)火绒剑-windows
(3)process explorer
(4)jscan
(5)火麒麟
(6)logontracer (阿里云服务器安装neo4j)-windows
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
