服务器入侵溯源和应急相关

最新推荐文章于 2023-09-18 14:06:46 发布

Simon_Smith

最新推荐文章于 2023-09-18 14:06:46 发布

阅读量1.8k

点赞数 1

分类专栏：安全服务与应急响应文章标签：大数据安全

本文链接：https://blog.csdn.net/weixin_51339377/article/details/125694356

版权

安全服务与应急响应专栏收录该内容

9 篇文章 2 订阅

订阅专栏

Q:最直观最快速的服务器初步入侵溯源方式？---答：通过日志

应对网站入侵溯源的基本流程：

1.首先可以利用工具或者手工对相应的日志进行分析，查找出可疑路径和可疑的IP地址等信息

2.接下来考虑利用D盾或者河马等扫描工具对网站总目录的文件进行扫描，进而查看是否存在一些可疑的木马或者恶意程序文件等（如一句话木马）。

3.根据流量特征和文件特征等信息，如tunnel.php等文件可以知道是反向代理这种。主要分析出黑客的攻击流程，从哪里进入的步骤。比如弱口令进入后台，通过什么漏洞获取webshell，然后后续如何操作的这种。后续一般排查如何权限维持，以及如何进行横向移动，纵向移动后渗透等相关的。

权限维持：可以优先排查/tmp目录可能会有一些可疑文件甚至有一些提权的exp

接下来才需要对Linux系统进行一个排查，排查流程如下：

中间件一些Web服务器的日志分析工具有很多很多，我比较推荐的是360星图，当然下面的几款也都各有特点。可以根据自己的需要和喜好进行选择。

可疑通过对系统进程的占用的排查来判断机器是否被用来进行挖矿等活动。

内存和CPU两条命令都可以查看到相应的情况

ps -eo pid,ppid,%mem,%cpu,cmd --sort=-%cpu | head -n 5
ps -eo pid,ppid,%mem,%cpu,cmd --sort=-%mem | head -n 5

通过网络连接可以判断是否黑客正在通过vps连接到木马从而控制这台服务器。木马外连的情况可以通过网络连接检查发现从而得到切断。

有很多的Linux系统一键自动化监测脚本。可以全方位的对系统从漏洞，日志等多个维度进行分析并且生成相应的结果报告。

4.在排查的过程中如果可以看到反弹shell的命令等（通过history等查到），那么可以反向确定到黑客的VPS等信息。（用渗透的思维看待问题）

或者可以在命令中看到find等用于提权的情况

也可能存在写入公钥到ssh认证文件（免密码登录进行权限维持）或者反弹shell的一些命令

如果是针对Windows操作系统，其排查有些许不同。

windows的服务器一般都是处于域环境状态。

C:\Windows\System32\winevt\Logs\

判断：同一密集时间段做了大量的认证，可能是存在密码爆破的情况

直接拷贝相应的evtx文件即可转移到其他机器进行分析了。

也可以借助可视化的安全工具分析：

启动项的排查方式有很多种。这里只说其中的一种

reg export HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run c:\autorun.reg

系统的环境变量可以举个例子。例如java环境，添加到环境变量以后，在任何文件夹或者目录输入java都可以直接调用对应环境变量的程序。木马也是如此，添加到环境变量以后，任何位置输入命令都可以触发木马的执行。所以可以通过set命令去查看环境变量，也可以输出到文件进行查看。

服务查看位置：

举个例子。比如黑客发现主机的mysql是自启动的。那么黑客可能可以把mysql替换成黑客木马的exe程序。这样就可以实现黑客木马的自启动了。

chcp 437
schtasks /query /fo LIST /v > c:\schtasks.txt
chcp 936

影子用户，用$符号标识的是隐藏用户

net localgroup administrators查看管理员组中的用户

查看防火墙状态： netsh firewall show state > c:\firewall-state.txt 
查看防火墙入站规则： netsh advfirewall firewall show rule name=all dir=in > c:\firewall-in.txt 
查看防火墙出站规则： netsh advfirewall firewall show rule name=all dir=out > c:\irewall-out.txt

可视化图形界面工具：

l http://www.virscan.org 多引擎在线病毒扫描网

l https://habo.qq.com 腾讯哈勃分析系统

l https://s.threatbook.cn 微步在线云沙箱

l https://virusscan.jotti.org Jotti 恶意软件扫描系统

l http://www.scanvir.com 计算机病毒、手机病毒、可疑文件分析平台

l https://xingyuan.qianxin.com 奇安信星源平台

l https://geagle.qianxin-inc.cn 奇安信鹰图平台（内网）

l https://ti.qianxin.com 奇安信威胁情报中心

l https://x.threatbook.cn 微步在线情报社区

l https://www.venuseye.com.cn 启明星辰威胁情报中心

l https://ti.dbappsecurity.com.cn 安恒威胁情报中心

l https://nti.nsfocus.com 绿盟威胁情报中心

l https://www.zoomeye.org zoomeye 网络空间测绘搜索引擎

l https://www.shodan.io shodan 网络空间测绘搜索引擎

Simon_Smith

关注

1
点赞
踩
19

收藏

觉得还不错? 一键收藏
打赏
0
评论
服务器入侵溯源和应急相关

Q:最直观最快速的服务器初步入侵溯源方式？---答：通过日志应对网站入侵溯源的基本流程：1.首先可以利用工具或者手工对相应的日志进行分析，查找出可疑路径和可疑的IP地址等信息2.接下来考虑利用D盾或者河马等扫描工具对网站总目录的文件进行扫描，进而查看是否存在一些可疑的木马或者恶意程序文件等（如一句话木马）。3.根据流量特征和文件特征等信息，如tunnel.php等文件可以知道是反向代理这种。主要分析出黑客的攻击流程，从哪里进入的步骤。比如弱口令进入后台，通过什么漏洞获取webshell，然后后续如何操作的
复制链接

扫一扫