最近看完了一个应急响应的视频
https://www.bilibili.com/video/BV1Yq4y1p7Vz?from=search&seid=4465743441233556739&spm_id_from=333.337.0.0
感觉还是不错的,学到了很多
然后做了下面一些笔记
检测webshell
通过文件属性检查
应急响应工具
勒索病毒应急响应自救手册
https://mp.weixin.qq.com/s/L_gNPPi0i1Op7WHbmMaEng
勒索解密工具
https://mp.weixin.qq.com/s/EDJMABKxNMFYDrTEctFYRQ
恶意程序类型
各种单位遭受攻击的侧重点
踩坑
WEB入侵响应流程
被入侵后的排查思路
Windows
查询PID对应的程序命令 tasklist | findstr PID号
可以直接用火绒剑查
Linux
Linux /proc 目录 --记录系统当前运行的进程
查看pid所对应的进程
cmdline 运行的内容
environ 环境变量
/usr/lib/systemd/system/目录主页为Linux启动的服务
应急案例
一些敏感操作在日志中的表现形式
TCP连接过程
操作系统后门篇
计划任务后门
Linux操作系统后门
…后门
杂项
常见服务的web日志存放位置
iis
Windows Server 2003 iis6日志路径:C:\Windows\System32\LogFiles
Windows Server 2008 R2、2012、2016、2019 iis7以上日志路径:C:\inetpub\logs\LogFiles
apache
Windows: <Apache安装目录>\logs\access.log | error.log
Linux: /usr/local/apache/logs/access_log | error_log
其他服务可寻找配置服务的配置文件,然后搜索log或out,可看到日志存储路径
web日志记录的内容
安全应急响应白皮书
https://helpcdn.aliyun.com/document_detail/53549.html
Windows事件ID
4741 – 计算机帐户已创建
4742 – 计算机帐户已更改
4743 – 计算机帐户已删除
4739 – 域政策已经更改
4782 – 密码hash帐户被访问
4727 – 安全全局组已经创建
4728 – 一名用户被添加到安全全局组
4729 – 一名用户从安全全局组解除
4730 – 安全全局组已经删除
4731 – 安全本地组已经创建
4732 –一名用户被添加到安全本地组
4733 –一名用户被安全本地组解除
4734 –安全本地组已经删除
4735 – 安全本地组已经更改
4737 –安全全局组已经更改
4754 –安全通用组已创建
4755 –安全通用组已创建更改
4756 –一名用户被添加到安全通用组
4757 –一名用户被安全通用组解除
4758 –安全本地组已经删除
4720 – 用户帐户已创建
4722 – 用户帐户已启用
4723 – 试图更改帐户密码
4724 – 试图重置帐户密码
4725 – 用户帐户被停用
4726 –用户帐户已删除
4738 –用户帐户已被改变
4740 –用户帐户被锁定
4765 – SID历史记录被添加到一个帐户
4766 –尝试添加SID历史记录到帐户失败
4767 –用户帐户被解锁
4780 –对管理组成员的帐户设置了ACL
4781 –帐户名称已经更改
4634 – 帐户被注销
4647 – 用户发起注销
4624 – 帐户已成功登录
4625 – 帐户登录失败
4648 – 试图使用明确的凭证登录
4675 – SID被过滤
4649 – 发现重放攻击
4778 – 会话被重新连接到Window Station
4779 – 会话断开连接到Window Station
4800 – 工作站被锁定
4801 – 工作站被解锁
4802 – 屏幕保护程序启用
4803 – 屏幕保护程序被禁用
5378 – 所要求的凭证代表是政策所不允许的
5632 – 要求对无线网络进行验证
5633 – 要求对有线网络进行验证
5140 – 网络共享对象被访问
5031 – Windows防火墙服务阻止一个应用程序接收网络中的入站连接
4698 –计划任务已创建
4699 –计划任务已删除
4700 –计划任务已启用
4701 –计划任务已停用
4702 –计划任务已更新
4657 –注册表值被修改
5039 –注册表项被虚拟化
4660 –对象已删除
4663 –试图访问一个对象
4704 – 用户权限已分配
4705 – 用户权限已移除
4946 – 对Windows防火墙例外列表进行了修改,添加规则
4947 – 对Windows防火墙例外列表进行了修改,规则已修改
4948 – 对Windows防火墙例外列表进行了修改,规则已删除
4949 – Windows防火墙设置已恢复到默认值
4950 – Windows防火墙设置已更改
4672 – 给新登录分配特权
4673 – 要求特权服务
4674 – 试图对特权对象尝试操作
5024 – Windows防火墙服务已成功启动
5025 – Windows防火墙服务已经被停止
5027 – Windows防火墙服务无法从本地存储检索安全政策,该服务将继续执行目前的政策
5028 – Windows防火墙服务无法解析的新的安全政策,这项服务将继续执行目前的政策
5029 – Windows防火墙服务无法初始化的驱动程序,这项服务将继续执行目前的政策
5030 – Windows防火墙服务无法启动
5032 – Windows防火墙无法通知用户它阻止了接收入站连接的应用程序
5033 – Windows防火墙驱动程序已成功启动
5034 – Windows防火墙驱动程序已经停止
5035 – Windows防火墙驱动程序未能启动
5037 – Windows防火墙驱动程序检测到关键运行错误,终止。
4608 -Windows正在启动
4609 – Windows正在关机
4616 – 系统时间被改变
4621 – 管理员从CrashOnAuditFail回收系统,非管理员的用户现在可以登录,有些审计活动可能没有被记录
4697 – 系统中安装服务器
4618 – 监测安全事件样式已经发生
1143
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
