应急流程

应急响应

PDCERF模型
P (Preparation准备) 应急工具:ls ifconfig ps top (busybox,webshell,病毒查杀)
D(Detection诊断) 类型: 挖矿(cpu过高),dos,
C(Containment抑制) 阻断:减小范围
E(Eradication根除) 寻找根源 如何进来的?利用了哪些漏洞?在服务器做了什么? 清楚后门
R(Recovery恢复) 恢复上线
F(follow-up跟踪) 进一步跟踪 应急报告,自省和高进措施

应急工具

BusyBox
BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件。

运维人员开始top、ps等未查找到异常进程是由于该病毒涉及到 Linux动态链接库预加载机制,是一种常用的进程隐藏方法,而系统的ls,ps等命令已被通过so库的preload机制被病毒劫持。

而busybox是静态编译的,不依赖于系统的动态链接库,从而不受ld.so.preload的劫持,能够正常操作文件。

BusyBox下载

cd /bin/
wget https://busybox.net/downloads/binaries/1.30.0-i686/busybox
chmod 755 busybox

使用:busybox top

用什么工具来判断后门?
Chkrootkit
Rkhunter
查杀:cleamav

WebShell查杀
D盾查杀
http://www.d99net.net/News.asp?id=62

windows

链接: https://pan.baidu.com/s/150igm97zH9PkiF9Gmm1aCg
提取码: 2xd4

应急响应-3 检测步骤

应急响应检测

事件分类
时间分类也就是初步判断什么安全事件,是服务器cpu过高还是出现陌生用户名等
Web***:挂马、篡改、Webshell
系统***:系统异常、RDP爆破、SSH爆破、主机漏洞病毒
***:远控、后门
勒索软件信息泄漏:拖裤、数据库登录(弱口令)
网络流量:频繁发包、批量请求、DDOS***

阻断
iptables-save >/root/iptables.bak ##备份系统的的 iptables文件
iptables -F
iptables -A INPUT -s 允许登录IP -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -d 允许登录IP -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
iptables -A OUTPUT -j DROP

常用后面技术
增加超级用户帐号
破解/嗅控用户密码
放置SUID Shell
利用系统服务程序
TCP/UDP/ICMP Shell
Crontab定时任务
共享库文件
工具包rootkit
可装载内枋模块(LKM)

  1. 检查系统用户
  2. 检查异常进程
  3. 检查异常系统文件
  4. 检查网络
  5. 检查计划任务
  6. 检查系统命令
  7. 检查系统日志
  8. 检查WebShell
  9. 检查系统后门