应急响应学习

网站

首先确定网站的基本信息,如语言,数据库,中间件,CMS,系统等。对网站可能存在的漏洞有初步判断

基于时间分析

询问管理员,确定网站发生异常的时间

查看日志,查看状态码,200为成功,404为不存在

查看访问的路径,查看是否有目录爆破的行为

查看请求方式,正常用户正常访问网页应该为GET

查看UA头,看是否为扫描器等

全局查看异常IP,了解目标攻击流程

基于漏洞分析

模拟红队成员,通过前面收集的网站信息,找到网站的漏洞并进行测试,通过漏洞的payload在日志中进行筛选,定位攻击者的IP等,进行进一步分析

基于后门查杀

攻击者可能在网站植入后门,通过后门查杀锁定后门,通过日志分析访问后门IP,确定目标

后门攻击检测

基于连接分析

Linux利用使用netstat -anpt查看进程信息,使用kill -9 PID杀掉进程

Windows推荐使用火绒剑等工具

应急响应学习_第1张图片

如图,先分析安全状态,重点关注未知文件,然后对连接地址进行分析,看连接的地址是否是自己未知的,然后查看文件名,进行进一步确认

启动项分析

同样可以用火绒剑对自启动恶意文件进行分析

应急响应学习_第2张图片

 LINUX

linux自动化检测工具

应急响应学习_第3张图片

grayddq/GScan: 本程序旨在为安全应急响应人员对Linux主机排查时提供便利,实现主机侧Checklist的自动全面化检测,根据检测结果自动数据聚合,进行黑客攻击路径溯源。 (github.com) 

 挖矿病毒处置流程

Linux

发现流程

检测CPU等使用情况,分析是否可能有挖矿行为

使用top命令查看CPU占用情况,一般可以直接看到挖矿脚本

使用find / -name 目标  查看目标路径

对可疑文件使用微步等威胁情报平台进行分析

对目标路径下的文件进行分析,注意查看.隐藏文件

处置流程

kill PID 杀掉挖矿进程

挖矿病毒为了权限维持经常会添加启动项和计时任务

查看定时任务三个方法

1.crontab -e直接进入vi模式添加。此任务保存在、/var/spool/cron 里面对应的用户名文件
2./etc/crontab 此计划任务所有人可用,但是 * * * * * 用户名 commend (多了个用户名添加)

3.查看调度任务:crontab -l //列出当前的所有调度任务

find / -name 目标  找到目标所在路径,对目标文件进行清除

Linux还有手册可以进行应急辅助

Windows

火绒剑对启动项,计划任务进行分析,确定进程,时间

排查如何添加的计划任务,根据时间查看日志,服务器管理器>诊断>事件查看器>windows日志

你可能感兴趣的:(学习)