常見的應急響應事件分類：

web入侵---網頁掛馬，主頁篡改，webshell

系統入侵---病毒木馬，勒索軟件，遠程后門

網絡攻擊----DDOs攻擊，DNS劫持，ARP欺騙

一、Windows 入侵排查?

排查思路：

1、 檢查系統賬戶安全---弱口令，可疑賬號，新增賬號，隱藏賬號，克隆賬號

??????????????? net user? 查看可疑賬戶

??????????????? lusrmgr.msc? 檢查管理員組是否有新增賬號等

???????????????? regedit???? 查看注冊表\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 下是否有影子賬戶

???????????????? 查看管理員組賬戶鍵值是否有重復

???????????????? 或者 D盾_web查殺工具檢查

?????????????? 【隱藏共享方法：共享名后面加$】

2、 結合日志，查看管理員登錄時間、用戶是否存在異常

?????????????????? windows---eventvwr.msc 導出Windows日志--安全，利用Log Parser進行分析。

?????????????????? linux---cd logs

3、 檢查異常端口????? netstat -anbo? 查看網絡連接

?????????????????????????????????? msinfo32命令---軟件環境---正在運行任務????? 查看進行

?????????????????????????? D盾---查看進程，關注沒有簽名信息的進程

?????????????????????????? 通過下載微軟官方的process explorer 進行排查，關注沒有簽名信息、描述信息、進程屬主、進程路徑等信息

?????????????????????????? tasklist/svc? 進程---PID---服務

????????????????????????? 【win--- C:\Windows\System32\drivers\etc\services? ; linux---etc\services】下查看服務和端口的對應關系

4、 檢查啟動項，計劃任務，服務

???????????????????? msconfig---啟動---打開任務管理器---查看命名異常的啟動目錄

???????????????????? regedit---打開注冊表\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

????????????????????????????????????????????????????? \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

????????????????????????????????????????????????????? 查看右側是否有異常的啟動項，如果有請刪除，并用殺毒軟件進行病毒查殺

????????????????????? gpedit---計算機配置---windows設置---

????????????????????? schtasks.exe?? 查看計劃任務

5、?檢查系統相關信息---systeminfo命令查看

????????????????????????????? 回收站、瀏覽器下載記錄、瀏覽歷史等

????????????????????????????? web中間件的日志

病毒分析工具

PCHunter：http://www.xuetr.com

火絨劍：https://www.huorong.cn

Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

processhacker：https://processhacker.sourceforge.io/downloads.php

autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL：https://www.bleepingcomputer.com/download/otl/

SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector

病毒查殺

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe （推薦理由：綠色版、最新病毒庫）

大蜘蛛：http://free.drweb.ru/download+cureit+free（推薦理由：掃描快、一次下載只能用1周，更新病毒庫）

火絨安全軟件：https://www.huorong.cn

360殺毒：http://sd.360.cn/download_center.html?

在線病毒網站? ? ? ? ? ? ? ??

CVERC-國家計算機病毒應急處理中心：http://www.cverc.org.cn

微步在線威脅情報社區：https://x.threatbook.cn

火絨安全論壇：http://bbs.huorong.cn/forum-59-1.html

愛毒霸社區：http://bbs.duba.net

騰訊電腦管家：http://bbs.guanjia.qq.com/forum-2-1.html

在線病毒掃描

http://www.virscan.org???????????? //多引擎在線病毒掃描網 v1.02，當前支持 41 款殺毒引擎

https://habo.qq.com??????????????? //騰訊哈勃分析系統

https://virusscan.jotti.org??????? //Jotti惡意軟件掃描系統

http://www.scanvir.com????????? //針對計算機病毒、手機病毒、可疑文件等進行檢測分析

?webshell查殺

D盾_Web查殺：http://www.d99net.net/index.asp

河馬webshell查殺：http://www.shellpub.com

深信服Webshell網站后門檢測工具：http://edr.sangfor.com.cn/backdoor_detection.html

Safe3：http://www.uusec.com/webshell.zip

?

?

二、Linux入侵排查

?

排查思路

賬號安全---用戶信息文件? /etc/passwd?? ---? 查詢特權用戶 awk -F

????????????????????? 影子文件? /etc/shadow? ---? 查詢可以遠程登錄的賬號信息? awk

???????????????? 除root外，其它賬戶是否存在sudo權限

???????????????? 禁用或刪除多余的可以賬戶---usermod -L user? 或者? userdel user? 或者 userdel -r user

歷史命令 --- cat? .bash_history 下的 history.txt

檢查異常端口 ---netstat -antlp|more? 運行 ls -l /proc/$PID/exe 或者 file/proc/$PID/exe? 查看所運行的進程文件路徑

檢查異常進程 --- ps aux | grep pid

檢查開機啟動項---runlevel 查看系統運行級別

???????????????????????????? vi /etc/inittab

???????????????????????????? id=3: initdefault?? 修改系統開機后直接進入的運行級別

???????????????????????????? 建立開機啟動自己的腳本的軟連接 ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/s100ssh

檢查定時任務 ---? crontab -l? 列出cron服務的詳細任務

????????????????????????? Tips默認crontab文件會保存在/var/spool/cron/用戶名

????????????????????????? crontab -r 刪除每個用戶cron任務

????????????????????????? crontab -e 使用編輯器編輯當前的cron文件

????????????????????????? vi /etc/anacrontab @daily 10 example.daily /bin/bash /home/backup.sh?? 實現異步定時任務調度

????????????????????????? 關注以下目錄是否存在惡意腳本：

?????????????????????????

?????????????

檢查服務??

? 方法一

? ?方法二

? ?方法三??????????????????????????????

?使用ntsysv命令管理自啟動，可以管理獨立服務和xinetd服務?

?chkconfig --list??? 查看服務自啟動狀態，RPM包安裝的服務

?ps aux | grep crond?? 查看當前服務???

?/user/local/ 下查看源碼包安裝的的服務

?service httpd start

?/etc/rc.d/init.d?? 查看是否存在

檢查異常文件 --- 查看敏感目錄，如/tmp目錄下的文件

?注意隱藏文件夾，以 .. 為名的文件

? find /opt -iname "*" -atime 1 -type f? 找出一天前訪問過的文件

?針對可疑文件可以使用stat進行創建修改時間

檢查系統日志 --- /var/log/?? 日志默認的存放位置

? more /etc/rsyslog.conf???? 查看日志配置情況

??

日志分析技巧：

?

????????????????????????????????????

?

?

工具

rootkit查殺? ---?? chkrootkit????????????????? 網址：http://www.chkrootkit.org

??????????????????????

???????????????????????

???????????????????????? Rkhunter?????????????????????? 網址：http://rkhunter.sourceforge.net

?

?

?

病毒查殺Clamav?? ClamAV的官方下載地址為：http://www.clamav.net/download.html

???????????????????

?

????????????????????????????????? 或者?????????????????????????

?

webshell查殺????

???????????? 河馬webshell查殺：http://www.shellpub.com

???????????? 深信服Webshell網站后門檢測工具：http://edr.sangfor.com.cn/backdoor_detection.html

?

RPMcheck檢查

????????????? ./rpm -Va > rpm.log??? 檢查所有的rpm軟件包，查看哪些命令是否被替換了

?

Linux安全檢查腳本?????????

???????????? Github項目地址：

???????????? https://github.com/grayddq/GScan

???????????? https://github.com/ppabc/security_check

???????????? https://github.com/T0xst/linux

?

三、發現隱藏后門

????? 1、最好的方式就是做文件完整性驗證。

????? 2、我們可以將所有網站文件計算一次hash值保存，當出現應急情況時，重新計算一次hash值，并與上次保存的hash值進行對比，從而輸出新創建的、修改過及刪除的文件列表。

??????????????? 下載地址：http://www.d99net.net/down/WebShellKill_V2.0.9.zip

??????????????? 文件MD5：29285decadbce3918a4f8429ec33df46 WebShellKill.exe

?????? 3、在linux中，我們經常使用diff來比較兩個文本文件的差異。同樣，我們可以通過一行命令快速找出兩個項目文件的差異：?

??????????? diff -c -a -r cms1 cms2

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

總結

以上是生活随笔為你收集整理的常见的应急响应的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。