day11 应急响应

1. 总结应急响应流程（预案，研判，遏止，取证，溯源，恢复——无先后顺序，根据实际情况进行处理）

1. 预案制定（Preparation）：建立应急预案，包括风险评估、确定应对策略和职责分工，形成一套完整的应急操作手册。

2. 事件识别与上报（Alerting）：通过监控系统或人员发现异常情况后，立即上报给相关部门，并启动相应预案。

3. 初步研判（Initial Assessment）：快速收集信息，评估事件的类型、影响范围、紧急程度等。

4. 遏止措施（Containment）：采取必要的行动限制事态扩大，如隔离区域、切断源头等。

5. 原因分析与溯源（Root Cause Analysis）：对发生的情况进行深入调查，查找根源，防止类似事件再次发生。

6. 恢复（Mitigation and Recovery）：恢复受影响的系统、数据，确保业务恢复正常运作。

7. 总结评估与改进（Post-Emergency Review）：事后评估应急响应效果，找出不足之处，更新和完善应急预案。

2. 总结应急响应措施及相关操作

1. Windows系统

1.1 系统排查

1.1.1 系统详细信息 

命令：systeminfo：打开系统信息窗口，查看系统配置、驱动、服务等信息。

1.1.2 网络连接 

命令: netstat  -ano：netstat 是一个用于显示网络连接、路由表和网络接口信息的命令行工具

1.1.3 进程排查

1、打开任务管理器查看进程。

2、tasklist命令：列出所有当前正在运行的进程及其基本信息。

1.1.4 排查检测账号

1、查看当前登录到计算机上的用户会话信息

query user

2、显示所有用户账户

net user

3、账号克隆

创建隐藏用户并将其权限（F值）修改为与管理员相同的做法，可能导致严重的安全漏洞。这种操作可能使未经授权的用户获得管理员权限，并可能被用作系统的后门。为了发现潜在的克隆账号，建议检查注册表\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中是否存在带有$符号的隐藏用户。如果发现这样的用户，请仔细检查其权限设置，确保不与管理员账号相同。一旦发现异常，应立即采取措施防止进一步的安全风险。

访问注册表 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 权限不够可以设置可读权限

1.1.5 利用系统启动项执行后门

系统中的启动目录

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
或者
运行 - shell:startup

系统配置msconfig

运行 - msconfig

 注册表启动

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

1.1.6 注册表

运行 - regedit

1.2 日志排查

1.2.1 windows 系统安全日志分析

主要记录系统的安全信息，包括成功的登录、退出，不成功的登录，系统文件的创建、删除、更改，需要指明的是安全日志只有系统管理员才可以访问，这也体现了在大型系统中安全的重要性。

事件类型	注释
信息（Information）	指应用程序、驱动程序或服务的成功操作事件
警告（Warning）	系统发现了一个可能会导致问题的情况，但尚未产生错误。例如，磁盘空间不足、某些服务未能及时启动等
错误（Error）	系统或应用程序发生了一个问题或失败，可能导致系统功能的部分或完全受到影响。例如，应用程序崩溃、服务停止等
审核成功（Success Audit）	审核成功事件记录了成功的审核活动，例如成功的用户登录、文件或对象访问成功等。这些事件有助于审计和跟踪系统访问和活动
审核失败（Failure Audit）	审核失败事件记录了审核尝试但未成功的活动，例如无效的登录尝试、拒绝的访问尝试等。这些事件有助于检测潜在的安全威胁或攻击行为

Windows安全事件最常用的事件ID：

事件ID	说明	备注
1074	计算机开机、关机、重启的时间、原因、注释	查看异常关机情况
1102	清理审计日志	发现篡改事件日志的用户
4624	登录成功	检测异常的未经授权的登录
4625	登陆失败	检测可能的暴力密码攻击
4632	成员已添加到启用安全性的本地组	检测滥用授权用户行为
4634	注销用户
4648	试图使用显式凭据登录
4657	注册表值被修改
4663	尝试访问对象	检测未经授权访问文件和文件夹的行为。
4672	administrator超级管理员登录（被赋予特权）
4698	计划任务已创建
4699	计划任务已删除
4700	启用计划任务
4701	禁用计划任务
4702	更新计划任务
4720	创建用户
4726	删除用户
4728	成员已添加到启用安全性的全局组	确保添加安全组成员的资格信息
4740	锁定用户账户	检测可能的暴力密码攻击
4756	成员已添加到启用安全性的通用组
6005	表示日志服务已经启动（表明系统正常启动了）	查看系统启动情况

事件查看器

事件查看器
或者
运行 - eventvwr 或 eventvwr.msc
在事件选择安全 - 右侧筛选当前日志 - 输入id进行 - 筛选

定期审查安全事件日志，特别关注事件ID 4720，可以帮助及时发现未经授权的账户删除操作，从而有效防范可能存在的安全风险

通过筛选事件ID 4625，如果发现了大量的登录失败记录，这可能表明系统正在遭受暴力破解的尝试

 1.2.2 web日志分析

使用不同的中间件或服务，Web应用的日志位置和格式可能会有所不同，可以通过搜索引擎查找来获取具体的信息。这些日志可以帮助分析攻击者的访问时间、使用的IP地址以及他们尝试访问的具体网页或功能。

1.3 文件痕迹排查

1.3.1 查看用户最近的打开的文件

检查用户最近打开过的文件，并对可能可疑的文件进行详细分析。如果发现可疑文件，将其上传到病毒库平台进行进一步分析

运行 - %UserProfile%\Recent 

1.3.2 查看临时目录

Windows临时目录在安全应急响应中用于分析和检测潜在的恶意文件和活动

运行 - %tmp%

1.4 webshell&木马病毒 - 查杀

1.4.1 webshell

河马：https://www.shellpub.com/

D盾(iis)：https://www.d99net.net/

1.4.2 木马病毒

360杀毒：https://sd.360.cn/ 360安全大脑：https://sc.360.net/ 火绒：https://www.huorong.cn/ 微步在线云沙箱：https://s.threatbook.com/ 腾讯哈勃分析系统：https://habo.qq.com/ Jotti恶意软件扫描系统：https://virusscan.jotti.org/ ScanVir：http://www.scanvir.com/

2. Linux系统

2.1  查看用户信息

查看特权用户

cat /etc/passwd
# 查看用户信息文件
cat /etc/shadow
# 查看影子文件
awk -F: '$3==0{print $1}' /etc/passwd
cat /etc/passwd | grep x:0
# 查看系统是否还存在其他的特权账户，uid为0，默认系统只存在root一个特权账户

#查看当前登录用户，以及其登录ip。pts代表远程登录，tty代表本地登陆。
who
#查看目前登入系统的用户，以及他们正在执行的程序。
w
#查看现在的时间、系统开机时长、目前多少用户登录，系统在过去的1分钟、5分钟和15分钟内的平均负载。
uptime
#查看密码文件上一次修改的时间，如果最近被修改过，那就可能存在问题。
stat /etc/passwd
#查看除了不可登录以外的用户都有哪些，有没有新增的
cat /etc/passwd | grep -v nologin
#查看能用bash shell登录的用户。
#cat /etc/passwd | grep /bin/bash

2.2 历史命令

#查看历史命令
history
#保存历史命令
cat .bash_history >>history.txt

2.3 端口

#查看端口开放和连接情况
netstat -pantu
#如果发现可疑外联IP，即可根据对应PID查找其文件路径
ls -l /proc/pid/exe

2.4 进程

#查看进程
ps -aux
#查看关联进程
ps -aux | grep pid
#查看cpu占用率前十的进程
ps aux --sort=pcpu | head -10

2.5 自启项

#查看开机启动项
systemctl list-unit-files | grep enabled

2.6 定时任务

#查看定时任务
crontab  -l
#查看指定用户定时任务
crontab -u root -l

2.7 进程监控

#进程动态监控，默认根据cpu的占用情况进行排序的，按b可根据内存使用情况排序。
top
#监控指定程序
top -p pid
#静态监控
ps -ef

2.8 host文件

#查看host文件是否被篡改
cat /etc/hosts

2.9 登录日志

#统计爆破主机root账号的失败次数及ip：
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
#查看成功登录的日期、用户名、IP：
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

2.10 命令状态

#查看命名修改时间，防止被替换
stat /bin/netstat