应急响应处置思路与流程

已于 2024-07-10 15:28:41 修改
阅读量1k 收藏 12
点赞数 25
分类专栏: HVV 应急响应 文章标签: windows Linux 系统安全 安全 网络安全
于 2024-06-15 21:41:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55762309/article/details/139667579
版权

HVV中常见应急问题:

不确定攻击成功

服务器进行排查

windows服务器
账号排查

隐藏用户排查

  • net user
  • wmic查看
  • 用户管理查看
  • 注册列表查看

账户登录日志排查

  • 4624登录成功
  • 4625登录失败
  • 4720账户创建
  • 4724尝试重置密码
  • 4738账户已更改

logoff踢出用户

网络连接排查
  • netstat   -ant
  • -a 显示所有网络连接、路由表和网络接口信息
  • -n  ——数字的形式现实地址和端口号
  • -o现实与每个连接相关得所属进程ID
  • Listening
  • Esablished
  • Close_wait
进程排查
  • Pchunter
  • 火绒剑
文件排查
  • 针对文件排查需要熟知常落地文件的类型以及作用。
  • webshell-当有文件上传或者其他漏洞时常落地文件。
  • mimkatz-用于破解域或者计算机密码 远控-常见为CS上线样本。
  • frp-内网渗透端口转发
  • Empire-类似metasploit,针对powershell利用
  • sockscap--端口转发
  • Proxychains--做socks代理(linux自带)
  • Portscan.ps-针对windows端口扫描的powershell脚本。
  • PowerShell-AD-Recon-针对windows域管理的各种脚本,域渗透必备
  • 针对以上文件,一旦在存在,必然被入侵。校验MD5值

根据文件创建时间判断

当发现可疑文件后处置:

简单丢入沙箱中进行检查 使用“干净操作系统进行跟踪” 针对网络进行监控。 求助后场进行分析。

linux服务器
账号排查
  • cat   /etc/passwd
  • 查询uid为0的账户
  • 分析可登录账户
  • 查询用户错误的登陆信息
  • 查询用户最后的登录信息
  • 查看用户最近登录信息
  • 查看当前用户登陆系统情况
  • 查看空口令账户
网络连接排查
  • netstat  -antlp
  • netstat  -antlp  | more
  • ps  aux      |    grep  pid
进程排查
  • lsof   -p  PID查看进程打开的文件
  • ps  -ef  |  awk'{print}'   |   sort  -n  |  uniq  >1
文件排查 

针对webshell排查的方式: 使用软件进行全文件扫描。

  • find ./ -type f -name “*.jsp” | xargs grep “exec(”
  • find ./ -type f -name “*.php” | xargs grep “eval(”
  • find ./ -type f -name “*.asp” | xargs grep “execute(”
  • find ./ -type f -name “*.aspx” | xargs grep “eval(”
  • find ./ -type f -name “*.php” | xargs grep “base64_decode”

根据文件创建时间来排查

样本分析小技巧:

在HW过程中现红队常使用的cobaltstrike。其中在使用go语言生成后门程序的时候,会在程序字符串中保存go语言的相关组件,记录组件的方式路径+组件名称,如果没有加壳的话,可疑直接进行string分析。

三七怪鸽
关注
  • 25
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
应急响应应急响应流程,常见应急事件及处置思路
wangyuxiang946的博客
07-02 2431
这篇文章带大家解读安全事件分类分级,应急响应的组织架构和流程,以及灾备相关知识。
安全服务】应急响应1:流程、排查与分析
热门推荐
kkza的博客
09-08 1万+
一、应急响应流程 应急响应分为六个阶段,分别是 准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结 这种划分方法也称PDCERF方法 实际上,应急响应并不是严格遵从这个方法的,大多数情况都要具体问题具体分析 1 准备阶段 以预防为主,主要是要进行风险评估等工作,包括建立信息安全管理体系、部署安全设备和安装防护软件、建立应急响应和演练制度等等。 2 检测阶段 这个阶段是在安全事件发生后的,主要是判断安全事件是否还在发生,安全事件产生的原因,对业务的危害程度以及预计如何处理。 ..
Windows应急响应流程思路
mashiro_hibiki的博客
04-25 1883
网络安全应急响应(Network Security Incident Response,又称CSIRT)是指团队或组织为了在网络安全事件发生时能够及时准确地做出反应和应对而建立的一套制度和流程。其目的是降低网络安全事件所造成的损失并迅速恢复受影响的系统和服务。我这里总结了一些 Window 服务器应急响应思路和方法,希望能对师傅们处理攻击事件或工作中的应急响应有所帮助。
应急响应的整体思路和基本流程
weixin_42109829的博客
09-24 2475
https://www.secrss.com/articles/7374
01应急响应相关概述与流程
WX公众号-小白学安全
01-21 3312
基本概念 网络安全应急响应 指在突发重大网络安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略与规程 事件分类 恶意程序事件 计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件、其他有害程序事件 网络攻击事件 拒绝服务器攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰事件、其他网络攻击事件 信息破坏事件 信息篡改、信息假冒、信息泄露、信息窃取、信息丢失、其他信息破坏事件 信息内容安全事件 违反宪法和法律、行政法规的
应急响应流程思路
北冥同学的成长记录笔记
08-30 822
网络安全应急响应是指在面对网络安全事件或威胁时,组织或个人采取一系列的措施来及时侦测、分析、应对和恢复受到攻击的系统或网络的能力。其目标是尽快识别、限制和消除安全事件的影响,最小化损失并恢复受影响系统的正常运行。对安全事件的应急响应能力也是考验一个安全企业和安全人员的重要一环。
Linux应急响应流程
SHELLCODE_8BIT的博客
07-09 444
1.发现威胁1.1 收到防护设施告警(WAF,IPS,IDS)2.应急处置2.2 确定影响业务范围2.23.系统加固4.溯源
应急响应思路分享及案例
m0_64583632的博客
04-25 668
应急响应思路分享、面对常见病毒的应急响应
【链表在Java中DeBug】
最新发布
在这个充满危险的乱世之中,只有学会烤鸡才能顽强的活下去。
08-19 125
时,你实际上是在告诉当前节点 cur:“你的下一个节点应该是这个新创建的节点。,你将 cur 的引用更新为新创建的节点,这样 cur 现在就指向了你刚刚添加到链表末尾的节点。实际上,head 是一个固定的引用,它始终指向链表的第一个节点(即头节点)。当你看到链表似乎“增长”了,这实际上是因为你通过操作 cur(当前节点的引用)在链表的末尾添加了新的节点。所以,当你看到链表“增长”时,你实际上是在通过更新节点之间的链接(即 next 指针)来扩展链表结构。它只是保持了对链表起始节点的引用。
【C++】list的模拟实现
2301_77954967的博客
08-16 1379
在 C++ 编程中,模拟实现标准模板库(STL)中的list具有重要意义和广泛的应用场景。list作为一种常用的数据结构,其独特的特性使得在许多情况下能够提供高效和灵活的操作。模拟实现list有助于深入理解其内部工作原理。通过亲手编写代码来模拟 list 的各种功能,如节点的创建、插入、删除、遍历等,可以清晰地掌握数据在链表中的存储和流动方式,这对于提升对数据结构的理解和编程能力至关重要。在实际应用中,list 常用于需要频繁进行插入和删除操作的场景。
Spring cloud是如何继承Feign的
不知跬步无至千里
08-16 342
从源码维度分析,Spring cloud是如何集成Feign的,帮助快速理解
代码随想录第三天 | 链表
qq_37206769的博客
08-19 66
/ 单链表的节点定义int data;// 节点上存储的元素// 指向下一个节点的指针ListNode(int val) : data(val), next(nullptr) {} // 节点的构造函数// 双链表的节点定义int data;// 定义一个长度为n的链表。
MFC 读写 Excel
m0_37346206的博客
08-19 336
在对话框头文件中导入头文件依次打开并注释这些头文件中如下代码打开CRange.h将DialogBox改为_DialogBox到这里可以成功运行项目了。
Python文件管理器:一个基于wxPython的桌面应用
Winfredzhang的博客
08-19 449
这个应用程序提供了一个图形用户界面,允许用户浏览文件系统,查看和管理Python源代码文件。扫描指定文件夹中的所有.py文件在列表视图中显示文件信息搜索文件编辑文件备注和有效性标志将文件信息保存到SQLite数据库从数据库中检索和显示文件信息在Visual Studio Code中打开选定的文件将文件信息导出到Excel让我们深入了解这个应用的一些关键特性和它们的实现方式。
Java数组怎么转List,Stream的基本方法使用教程
十三月的博客
08-19 208
Java 的 Stream 流操作是一种简洁而强大的处理集合数据的方式,允许对数据进行高效的操作,如过滤、映射、排序和聚合。anyMatch、allMatch、noneMatch:检测流中的元素是否匹配给定的条件。collect:将流转换为另一种形式(如 List、Set)reduce:将流中的元素组合为一个值。map:将每个元素转换为另一种形式。limit:截取流中的前 n 个元素。filter:过滤符合条件的元素。skip:跳过流中的前 n 个元素。sorted:排序流中的元素。
Java基础——IService.class 中查询数据方法list() 源码剖析及使用
qq_42631788的博客
08-19 306
功能:根据传入的查询符合条件的所有记录。参数Wrapper<T>实例,用于定义查询条件。这可以是或,允许你以链式调用的方式构建查询条件。返回值:符合查询条件的记录列表。使用方法功能:分页查询符合条件的记录,返回当前页的数据列表。参数pageIPage<T>实例,用于指定分页信息,如当前页码和每页记录数。通常使用Page<T>类的实现。Wrapper<T>实例,用于定义查询条件。返回值:当前页符合条件的记录列表。使用方法// 第1页,每页10条记录功能。
【数据结构与算法】A*算法——自动寻路
qq_74047911的博客
08-16 1101
如果越界了不可以,因为是一个二维数组,如果是障碍物不可以,这里我们在二维数组中设置的值为1的是障碍物.,如果在closeList的也不可以,因为我们已经走过了.对于周围每个可以走通的格子我们进行判断是否在openList里面,如果没有就加入,有的话,就判断需不需要进行更新.判断的依据就是G是否更小,因为H都是一样的.很明显,我们要得到最短的,那么就需要比较,就需要我知道所有的路径,然后比较出最短的,那么我需要知道所有的路径这是非常庞杂的工作.G是起点格子到该格子的步数,H是该格子到终点格子的步数.
银监会信息科技应急响应手册:流程与记录要点
应急响应-gvim中文手册2600页》主要针对银行业金融机构的应急处理流程和记录管理进行了详细的指导。以下是一些核心知识点: 1. **应急响应流程**: - 在突发事件发生时,银行应遵循既定的应急预案,启动应急操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

三七怪鸽

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值