安全应急响应笔记Security-Response-NoteBook
in PENETRATION with 0 comment

安全应急响应笔记Security-Response-NoteBook

in PENETRATION with 0 comment

常见的安全事件

  1. Web入侵:挂马、篡改、Webshell
  2. 系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞
  3. 病毒木马:远控、后门、勒索软件
  4. 信息泄漏:拖裤、数据库登录(弱口令)
  5. 网络流量:频繁发包、批量请求、DDOS攻击

排查思路

常规入侵排查思路:

paicha.jpg

分析思路

1.文件分析

2.进程分析

3.系统信息

日志分析

分析排查

linux分析排查

文件分析

查看敏感目录文件

ls -alt /tmp
ls -alt /usr/bin /usr/sbin
ls -alt /etc/init.d/
ls -alt 敏感目录 | head -n 10

对查看到的可疑文件进行创建时间,修改时间,访问时间的查看
stat 敏感文件 查看访问时间,修改时间,创建时间
QQ截图20180304180358.png

查看24小时内被修改的php文件

find ./ -mtime 0 -name *.php

查找72小时内新增的文件

find ./ -ctime -2

QQ截图20180304181046.png

根据确定时间去反推变更的文件

ls -al /tmp/ | grep "Feb 27"

查找特殊权限文件
查找777可疑文件夹下所有777权限的文件

find ./ -perm 4777

进程排查

使用netstat 命令分析可疑端口,ip,可疑PID及程序进程

netstat -antlp | more

QQ截图20180304182000.png

使用ps命令分析进程

ps aux | grep pid | grep -v(反选) 进程

QQ截图20180304182259.png

使用ls 以及 stat 查看系统命令是否被替换。

ls -alt /usr/bin | head 10
ls -al /bin /usr/bin /usr/sbin/ /sbin/ | grep "Jan 15"
查看隐藏进程

ps -ef | awk '{print}' | sort -n | uniq >1
ls /proc | sort -n |uniq >2
diff 1 2
QQ截图20180307102945.png

系统信息排查

查看命令history

history
cat /root/.bash_history
QQ截图20180307100845.png

查看历史命令注意如下关键信息:

查看系统定时任务
crontab -e
crontab -l

QQ截图20180307101017.png

查看开机启动程序
查看rc.local文件
cat /etc/init.d/rc.local
cat /etc/rc.local
ls –alt /etc/init.d/
chkconfig
QQ截图20180304182259.png
QQ截图20180307100845.png
QQ截图20180307101017.png

查看系统用户登陆信息

QQ截图20180307101918.png

系统路径环境变量分析
echo $PATH 分析有无敏感可疑信息
指定信息检索

QQ截图20180307102650.png

后门排查

linux下使用

chkrootkit主要功能:

rkhunter主要功能:

日志分析

linux日志文件:

/var/log/message 包括整体系统信息 
/var/log/auth.log包含系统授权信息包括用户登录和使用的权限机制等 
/var/log/userlog 记录所有等级用户信息的日志。 
/var/log/cron 记录crontab命令是否被正确的执行 
/var/log/xferlog(vsftpd.log)记录Linux FTP日志 
/var/log/lastlog 记录登录的用户,可以使用命令 
/var/log/secure 记录大多数应用输入的账号与密码,登录成功与否 
var/log/wtmp  记录登录系统成功的账户信息,等同于命令
var/log/faillog  记录登录系统不成功的账号信息,一般会被黑客删除
lastlog查看
last

可使用各种日志分析软件辅助分析

Windows系列分析排查

文件分析

Responses