应急响应---入侵排查

Windows入侵排查

 

检查端口

命令：netstat -ano | findstr "ESTAB"      找到成功建立了三次握手的端口

 查看进程

命令：tasklist

 若发现有不认识、异常的端口可以根据PID找到异常文件

检查系统账号

1、检查服务是否有弱口令、远程管理端口是否对外开放

2、查看服务器是否有可疑账户，如：新增的账户等

1）cmd-->命令行

2）win+r-->lusrmgr.msc-->查询新增账号

3、检查服务是否存在隐藏账号、克隆账户-->查看注册表

4、检查日志，如：管理员的登陆时间、用户名存在是否异常

win+r-->eventvwr.msc-->事件查看器

 查看启动项

1）任务管理器中查看

2） 注册表中查看

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

3）利用安全软件查看启动项 

4）win+r-->goedit.msc  查看组策略

 查看计划任务

1）利用控制面板中的任务计划查看计划属性

2）cmd-->schtasks.exe

 查看服务自启动

 win+r-->services.msc  查看服务状态和启动类型

查看系统相关信息 

1）win+r-->systeminfo   查看系统信息

查找可疑文件

1）查看用户目录：C:\Users

2）win+r-->%UserProfile%\Recent  分析最近打开的可疑文件

3）回收站、浏览器下载目录、浏览器历史目录等查找可疑文件

4）最近有过修改的文件

Linux入侵排查

用户信息文件：/etc/passwd

用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后的 shell

注意：无密码只允许本机登陆，远程不允许登陆

1、查询特权用户    ：awk -F: '$3==0{print $1}' /etc/passwd

影子文件 /etc/shadow

用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留

1、查询可以远程登录的账号   ：awk '/\$1|\$6/{print $1}' /etc/shadow

控制用户的访问权限 /etc/sudoers

1、查看拥有sudo权限的用户：more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

 2、禁用或删除多余及可疑的账号

usermod -L user    禁用帐号，帐号无法登录，/etc/shadow 第二栏为 ! 开头
userdel user       删除 user 用户
userdel -r user    将删除 user 用户，并且将 /home 目录下的 user 目录一并删除

历史命令：history

 导出历史命令：cat .bash_history >> history.txt

检查端口：netstat

排查可疑端口：netstat -antlp | more

检查异常进程：ps

检查开机启动项

运行级别	含义
0	关机
1	单用户模式，可以想象为windows的安全模式，主要用于系统修复
2	不完全的命令行模式，不含NFS服务
3	完全的命令行模式，就是标准字符界面
4	系统保留
5	图形模式
6	重启动

查看运行级别

 开机启动配置文件 ：/etc/rc.local   和    /etc/rc.d/rc[0~6].d

检查定时任务

crontab   

• -l ：列出任务内容
• -r ：删除用户的任务
• -e ：编辑crontab文件

排查恶意脚本

• /var/spool/cron/* 
• /etc/crontab
• /etc/cron.d/*
• /etc/cron.daily/* 
• /etc/cron.hourly/* 
• /etc/cron.monthly/*
• /etc/cron.weekly/
• /etc/anacrontab
• /var/spool/anacron/*

检查服务   ps  aux

    

检查系统日志

日志文件	说明
/var/log/cron	记录了系统定时任务相关的日志
/var/log/cups	记录打印信息的日志
/var/log/dmesg	记录了系统在开机时内核自检的信息，也可以使用dmesg命令直接查看内核自检信息
/var/log/mailog	记录邮件信息
/var/log/message	记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息，如果系统出现问题时，首先要检查的就应该是这个日志文件
/var/log/btmp	记录错误登录日志，这个文件是二进制文件，不能直接vi查看，而要使用lastb命令查看
/var/log/lastlog	记录系统中所有用户最后一次登录时间的日志，这个文件是二进制文件，不能直接vi，而要使用lastlog命令查看
/var/log/wtmp	永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件，不能直接vi，而需要使用last命令来查看
/var/log/utmp	记录当前已经登录的用户信息，这个文件会随着用户的登录和注销不断变化，只记录当前登录用户的信息。同样这个文件不能直接vi，而要使用w,who,users等命令来查询
/var/log/secure	记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中