windows和linux应急响应

已于 2023-02-04 13:38:51 修改
阅读量350 收藏 3
点赞数
文章标签: 服务器 Powered by 金山文档
于 2023-02-04 13:37:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62693307/article/details/128881085
版权

应急响应

windows

对于windows的应急响应,我总结了无外乎这几点,查看日志信息、查看进程信息、查看用户信息、查看自启动项、查看系统信息(版本和补丁)、查看最近所使用的程序

我接下来会对以上进行逐个分析

查看日志信息

对于查看日志信息中,我个人推荐可以先看看下面这些事件ID,这些常见的事件ID可以更快的帮助你查看日志

系统system:

1074,查看计算机的开机、关机、重启的时间以及原因和注释。

6005,表示日志服务已启动,用来判断正常开机进入系统。

6006,表示日志服务已停止,用来判断系统关机。

6009,表示非正常关机, 按ctrl、alt、delete键关机。

41,表示系统在未先正常关机的情况下重新启动。当出现意外断电关机、系统崩溃时,出现此事件ID。

4199,当发生TCP/IP地址冲突的时候,出现此事件ID,用来排查用户IP网络的问题。

35,36,37,记录时间客户端状态信息,35表示更改时间源,36表示时间同步失败,37表示时间同步正常

134,当出现时间同步源DNS解析失败时会出现此事件ID。

7045,服务创建成功

7030,服务创建失败

安全Security

4624,表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。

4625,表示登陆失败的用户,用来判断RDP爆破的情况。

4672,表示授予了特殊权限

4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。

4727,4737,4739,4762,表示当用户组发生添加、删除时或组内添加成员时生成该事件。

设置Setup

1,2,3,4,用来查看windows系统更新的记录,事件ID前后顺序为“已挂起、已安装、错误失败、提示重启” 。事件ID3,更新错误或失败是重点查看对象

在看完这些事件ID后相信你能更好查看日志了,因为日志记录你在电脑上所做的一切。

查看进程信息

对于查看进程信息,不用我说你应该也深有体会。

当你的电脑无缘无故哦卡顿时,无非就时哪个程序占用的CPU过高了,而关于在cmd中如何查看进程的命令如下

端口的连接情况

netstat -ano

查找具体的进程

tasklist | find “PID”

一般只要记住以上两个命令即可

我接下来所说的是针对web服务器

web访问的端口一般都是80

查看web的端口

lsof -l tcp:80

以上图片我们可以看到

php进程占用了web服务,进程ID为35028

强制关闭某个进程

kill -9 35028 35028是进程ID

查看用户信息

对于查看用户信息,可以帮助我们查看到是否有人利用注册表中的账号进行恶意登录

查看注册表中的账号

net user

查看当前用户账号

whoami

或者

echo %username%

查看自启动项

查看自启动项可以更好的帮助我们排查问题,看是否有恶意程序的启动

taskmgr

或者

taskmgr/0/startup

查看系统信息版本及补丁

systeminfo

查看最近所使用的程序

recent

linux

对于linux的应急响应,我总结了无外乎这几点,查看日志信息、查看进程信息、查看用户信息、查看自启动项、查看系统信息(版本和补丁)

我接下来会对以上进行逐个分析

查看日志信息

日志默认存放位置:/var/log/

查看日志配置情况:mort /etc/rsyslog.conf

以下时日志文件及说明

/var/log/message 包括整体系统信息

/var/log/auth.log 含系统授权信息,包括用户登录和使用的权限机制等

/var/log/userlog 记录所有等级用户信息的日志

/var/log/cron 记录crontab命令是否被正确的执行

/var/log/vsftpd.log 记录Linux FTP日志

/var/log/lastlog 记录登录的用户,可以使用命令lastlog查看

/var/log/secure 记录大多数应用输入的账号与密码,登录成功与否

/var/log/wtmp 记录登录系统成功的账户信息,等同于命令last

/var/log/faillog 记录登录系统不成功的账号信息,一般会被黑客删除(为二进制文件不能直接查看)

查看进程信息

ps aux 报告当前系统进程状态

ps -elf 报告系统内所有的进程信息

top 以全屏交互式的界面显示进程排名

查看用户信息

cat /etc/passwd

文件信息的格式的读写如下

用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell

注意:无密码只允许本机登录,远程不允许登陆

查看用户信息的影子文件

cat /etc/shadow

文件信息的格式的读写如下

用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期的警告天数:密码过期之后的宽限天数:账号失效时间:保留

who 查看当前登录用户(tty本地登陆 pts远程登陆)

w 查看系统信息,想知道某一时刻用户的行为

uptime 查看登陆多久、多少用户,负载

查看历史命令

histroy

查看linux系统自启动项

systemctl list-unit-files |grep enabled

查看系统版本信息

lsb_release -a

孤寂204
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux操作系统下应急响应流程与步骤
03-04
在常见的安全保障模型中,有一个很著名的PDR模型,安全保障的主要操作环节被分为防护、检测、响应这几个主要部分。其中应急响应是安全保障工作中一个非常重要的环节。文中介绍了应急响应的基本概念和基本内容及应急响应通常需要达到的目标。
Linux &Windows应急响应手册.pdf
12-08
Linux &Windows应急响应手册.pdf
windows系统日志查询
qq_39885150的博客
06-02 6004
系统日志查询
Windows应急响应流程与思路
mashiro_hibiki的博客
04-25 830
网络安全应急响应(Network Security Incident Response,又称CSIRT)是指团队或组织为了在网络安全事件发生时能够及时准确地做出反应和应对而建立的一套制度和流程。其目的是降低网络安全事件所造成的损失并迅速恢复受影响的系统和服务。我这里总结了一些 Window 服务器应急响应的思路和方法,希望能对师傅们处理攻击事件或工作中的应急响应有所帮助。
应急响应 WindowsLinux操作系统(查杀 后门木马,处理 勒索病毒.)
锦鲤的博客
09-02 536
🌾🌾🌾应急响应”对应的英文是“Incident Response”或“Emergency Response”等
Windows+Linux应急响应(详细基础)
weixin_66146598的博客
06-12 1658
应急响应”对应的英文是“Incident Response”或“Emergency Response”等,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。
入侵排查与响应-window和linux
weixin_49349476的博客
07-03 2171
入侵检测:看看你的电脑有没有被入侵过,应急响应:如果你的电脑被入侵了,应该怎么做 讲述linux和window系统一些入侵检测的方法,如果你担心或者好奇你的电脑有没有被入侵的化,可以试试用这些方法检查一下
应急响应-win&linux分析后门&勒索病毒&攻击
mingyqf的博客
12-01 2335
操作系统(windows,linux)应急响应: 1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等) 2.常见分析:计算机账户,端口,进程,网络,启动,服务,任务,文件等安全问题 常见日志类别及存储: Windows,Linux 补充资料: https://xz.aliyun.com/t/485 应急响应大合集 https://www.secpulse.com/archives/114019.html 最全Windows安全工具锦
windows+linux下的应急响应
06-11
本节课程详细介绍了针对windowslinux两种操作系统在被攻击的情况下怎么溯源,怎么找到攻击的黑客,并从攻击留下的痕迹来发现自身服务器、web的漏洞,并从中修复自身漏洞。
应急响应实战笔记.rar
02-14
应急响应实战笔记,包含入侵排查篇:Windows 入侵排查、Linux 入侵排查、常见的 Webshell 查杀工具、如何发现隐藏的 Webshell 后门、勒索病毒自救指南;日志分析篇:Windows日志分析、Linux日志分析、Web日志分析、...
应急响应实战笔记+linuxwindows加固手册(建议收藏@@@)
08-07
应急响应实战笔记+linuxwindows加固手册,详细讲述了linuxwindows加固方法和应急响应流程,值得收藏
应急响应指导书-电子版
04-14
本文档用于介绍应急响应指导,包括windowslinux、web类等事件应急指导的描述 本书部分目录如下: 1. Windows应急响应指导书 1 1.1 准备工具包 1 1.2 数据收集 2 1.2.1 进程信息 2 1.2.2 服务信息 3 1.2.3 启动项...
linux&windows应急响应
yggcwhat
05-07 1154
linux&windows应急响应
webserver服务器从零搭建到上线(八)|EpollPoller事件分发器类
糖炒栗子
05-28 1003
EPollPoller 类实现了基于 epoll 的 I/O 多路复用,通过监控多个文件描述符上的事件,并在事件发生时通知相应的 Channel 对象来处理事件。通过实现这些函数,EPollPoller 能够高效地管理和分发事件。下一节,我们将讲解EventLoop类的具体实现!
服务器硬件基础知识学习
最新发布
千奇百怪无奇不有
06-02 563
性能怎么挑:挑处理器时候主要看它的主频有多快(单位是GHz),里面有多少核心可以同时干活,以及它的缓存有多大,这三样越强,处理器通常就越快。- 为啥选DRAM:动态随机存取存储器是最常用的服务器内存类型,因为它的速度非常快,而且能保存大量数据,非常适合需要快速存取数据的服务器环境。- RAID是啥:RAID是一种可以把多个硬盘串联起来的技术,既能提高数据存取速度,又能保证数据的安全,就算一个硬盘坏了,数据也不会丢。- 两种类型:一种是直接插在主板上的集成网卡,另一种是需要通过扩展槽安装的PCIe网卡。
非对称密钥:应用场景
老洋
06-02 153
【代码】非对称密钥:应用场景。
【C++集群聊天服务器(二)】|json简单入门
糖炒栗子
06-01 377
Json是一种轻量级的数据交换格式(也叫数据序列化方式)。也就是说,我们在数据的传输上其实已经被序列化了,等发到服务器或者是发到客户端的时候,我们需要把它反序列化成json。json长什么样子可以直接去百度即可。
linuxwindows应急响应的恶意进程和编码
05-22
LinuxWindows应急响应中可能涉及到的恶意进程和编码如下: Linux恶意进程: 1. rootkit:一种能够隐蔽自身的恶意软件,通过修改操作系统核心或者其他系统文件来控制系统。 2. backdoor:通过开放一个隐藏的网络端口,允许黑客远程控制被感染的系统。 3. trojan:通过伪装成合法程序的方式,欺骗用户执行后在系统中植入恶意代码。 4. botnet:通过感染大量主机来形成一个网络,将所有主机控制起来用于攻击其他系统。 Linux恶意编码: 1. Shellcode:一段字节码,通常用于利用软件漏洞进行攻击。 2. Rootkits:通过修改操作系统内核的方式来控制系统,比如修改系统调用表、隐藏进程等。 3. Rootkits检测工具的绕过:黑客可以使用各种技术,比如hook、inline hook等方式来绕过检测工具的检测。 Windows恶意进程: 1. spyware:一种用于窃取用户信息的恶意软件,可以记录用户键盘输入、网页浏览记录等信息。 2. ransomware:一种勒索软件,可以对用户的文件进行加密并要求赎金。 3. adware:一种用于向用户弹出广告的恶意软件。 4. keylogger:一种记录用户按键的恶意软件,可以用于窃取密码等信息。 Windows恶意编码: 1. Virus:一种自我复制的恶意代码,可以通过感染其他程序来传播。 2. Worm:一种利用网络漏洞进行自我复制的恶意代码,可以迅速传播到其他系统。 3. Trojan:通过伪装成合法程序的方式,欺骗用户执行后在系统中植入恶意代码。 4. Rootkit:通过修改操作系统内核的方式来控制系统,比如修改系统调用表、隐藏进程等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值