网站
首先确定网站的基本信息,如语言,数据库,中间件,CMS,系统等。对网站可能存在的漏洞有初步判断
基于时间分析
询问管理员,确定网站发生异常的时间
查看日志,查看状态码,200为成功,404为不存在
查看访问的路径,查看是否有目录爆破的行为
查看请求方式,正常用户正常访问网页应该为GET
查看UA头,看是否为扫描器等
全局查看异常IP,了解目标攻击流程
基于漏洞分析
模拟红队成员,通过前面收集的网站信息,找到网站的漏洞并进行测试,通过漏洞的payload在日志中进行筛选,定位攻击者的IP等,进行进一步分析
基于后门查杀
攻击者可能在网站植入后门,通过后门查杀锁定后门,通过日志分析访问后门IP,确定目标
后门攻击检测
基于连接分析
Linux利用使用netstat -anpt查看进程信息,使用kill -9 PID杀掉进程
Windows推荐使用火绒剑等工具
如图,先分析安全状态,重点关注未知文件,然后对连接地址进行分析,看连接的地址是否是自己未知的,然后查看文件名,进行进一步确认
启动项分析
同样可以用火绒剑对自启动恶意文件进行分析
LINUX
linux自动化检测工具
挖矿病毒处置流程
Linux
发现流程
检测CPU等使用情况,分析是否可能有挖矿行为
使用top命令查看CPU占用情况,一般可以直接看到挖矿脚本
使用find / -name 目标 查看目标路径
对可疑文件使用微步等威胁情报平台进行分析
对目标路径下的文件进行分析,注意查看.隐藏文件
处置流程
kill PID 杀掉挖矿进程
挖矿病毒为了权限维持经常会添加启动项和计时任务
查看定时任务三个方法
1.crontab -e直接进入vi模式添加。此任务保存在、/var/spool/cron 里面对应的用户名文件
2./etc/crontab 此计划任务所有人可用,但是 * * * * * 用户名 commend (多了个用户名添加)3.查看调度任务:crontab -l //列出当前的所有调度任务
find / -name 目标 找到目标所在路径,对目标文件进行清除
Linux还有手册可以进行应急辅助
Windows
火绒剑对启动项,计划任务进行分析,确定进程,时间
排查如何添加的计划任务,根据时间查看日志,服务器管理器>诊断>事件查看器>windows日志
记一次挖矿病毒应急响应
中秋假期收到腾讯云提醒
第二天开始处理,top命令查看恶意挖矿程序
查看恶意挖矿程序路径
病毒下载下来作为样本分析
对启动项进行排查清除
使用工具进行排查
根据腾讯云告警攻击者在6点左右进行攻击,进行排查/var/log/secure
可以看到,在昨天18:00黑客进行了ssh暴力破解
18:53分,黑客爆破成功账号yc
好的,知道黑客的攻击手法了,接下来进行安全加固
网上的修复措施
定期检查并修复系统漏洞
定期修改SSH密码,或配置证书登陆
修改SSH端口
禁Ping
若你长期不需要登陆SSH,请在面板中将SSH服务关闭
安装云锁、安全狗等安全软件
把不需要的用户删除
前面提取的样本拿去检测
扫一扫
433
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
