应急响应流程

• 应急响应指的是在系统或者网站遭到黑客入侵后，我们需要对攻击事件的类型进行定义，对攻击发生的原因进行溯源分析，查找黑客入侵的方式以及是否留有后门，所以应急响应是一项十分重要的工作。本篇对应急响应的流程进行总结

1.事件的分类

攻击事件发生后，首先要对事件进行分类，分析攻击属于哪种类型以便针对性的进行处置，常见的攻击事件如下：

• Web入侵：挂马、篡改、Webshell
• 系统入侵：系统异常、RDP爆破、SSH爆破、主机漏洞
• 病毒木马：远控、后门、勒索软件
• 信息泄漏：脱裤、数据库登录（弱口令）
• 网络流量：频繁发包、批量请求、DDOS攻击

2.排查思路

分析完攻击事件的类型之后，要针对该事件进行排查，寻找是否存在异常情况，一般的排查流程如下：

• 1.文件分析排查
  （1）按照文件日期、新增文件、可疑或异常文件、最近使用文件、浏览器下载文件进行排查
  （2）排查和分析webshell
  （3）核心应用的关联目录文件分析
• 2.进程分析
  （1）当前活动进程和远程连接
  （2）启动进程和计划任务
  （3）使用进程工具进行分析
  Windows: Pchunter
  Linux: Chkrootkit&Rkhunter
• 3.系统信息分析
  （1）环境变量
  （2）账号信息
  （3）History
  （4）系统配置文件
• 4.日志分析
  （1）操作系统日志分析
  Windows：事件查看器（eventvwr）
  Linux:/var/log
  （2）应用日志分析
  Access.log
  Error.log

3.分析排查

• 1.文件分析
  （1）敏感目录的文件分析（类/tmp目录、命令目录/usr/bin/usr/sbin）
  （2）新增文件分析
  （3）特殊权限的文件
  （4） 隐藏的文件（以 "."开头的具有隐藏属性的文件）

• 2.进程命令
  （1） 使用netstat 网络连接命令，分析可疑端口、可疑IP、可疑PID及程序进程
  （2）需要注意如果攻击者获取到了Root权限，被植入内核或者系统层Rootkit的话，连接可能会被隐藏。
  （3）查看已经建立的网络连接，例如反弹bash
  （4）检查可以监听端口，例如攻击者在本地开启sock5代理，然后使用SSH反弹sock5
  （5） 使用ps命令，分析进程
  （6）查看可疑进程打开的文件
  （7）查看文件类型
  （8）使用ls、strings以及stat查看系统命令是否被替换
  （9）隐藏进程查看

• 3.系统信息
  （1）查看分析history (cat /root/.bash_history)，曾经的命令操作痕迹，以便进一步排查溯源。运气好有可能通过记录关联到如下信息
  （2）查看分析用户相关分析
  （3）查看分析任务计划
  （4）查看linux 开机启动程序
  （5）查看系统用户登录信息
  （6）系统路径分析
  （7）指定信息检索
  （8）查看ssh相关目录有无可疑的公钥存

• 4.后门排查
  使用工具chkrootkit rkhunter
  Webshell查找
  Webshell的排查可以通过文件、流量、日志三种方式进行分析，基于文件的命名特征和内容特征，相对操作性较高，在入侵后应急过程中频率也比较高。
  可根据webshell特征进行命令查找，简单的可使用(当然会存在漏报和误报)
  a. Webshell的排查可以通过D盾等查杀
  b. Github上存在各种版本的webshell查杀脚本，当然都有自己的特点，可使用河马shell查杀（shellpub.com）
  c. 与测试环境目录做对比：diff -r {生产dir} {测试dir}
  5.日志分析
  对各种日志文件进行分析，搜寻蛛丝马迹，例如：系统信息日志、用户信息日志、FTP日志等

4.应急思路总结

• 主要思路是根据以上步骤寻找蛛丝马迹，找到时候顺藤摸瓜，对有碎片化信息进行关联分析，这里有一条关键的线，就是时间，用关键的操作时间点和一定的时间范围来串联这些蛛丝马迹，在发现信息之后进行假设，并顺着思路对假设进行验证。另外对于Web攻击，shell的定位非常重要，一般Web攻击都是通过写入或上传shell来实现的。这里除了思路和步骤之外，要大量利用各种检测工具以及系统命令，帮助我们实现检查和分析，因此熟悉相关的系统命令以及相关的辅助工具如：chkrootkit、rkhunter、D盾等。另外还要利用好各种日志，这是黑客入侵后最容易留下痕迹的地方。