应急响应-web&win&linux

流程:

保护阶段,分析阶段,复现阶段,修复阶段,建议阶段

目的:分析出攻击时间,攻击操作,安全修复并给出合理的解决方案

应急响应-web&win&linux_第1张图片

必备知识点

1.熟悉常见的WEB安全攻击技术

2.熟悉相关日志启用及储存查看等

3.熟悉日志记录的数据分类及分析等

准备工作:

1.收集目标服务器各类信息

2.部署相关分析软件及平台等

3.整理相关安全渗透工具指纹库

4.针对异常表现第一时间触发思路

从表现预估入侵

#有明确信息网站被入侵:

基于时间 基于操作 基于指纹 基于其他

#无明确信息网站被入侵:

1.WEB漏洞-检查源码类别及漏洞情况

2.中间件漏洞-检查对应版本及漏洞情况

3.第三方应用漏洞-检查是否存在漏洞应用

4.操作系统层面漏洞-检查是否存在系统漏洞

5.其他安全问题(口令,后门等)-检查相关应用口令及后门扫描

#常见分析方法

---指纹库搜索,日志时间分析,后门追查分析,漏洞检查分析等

#案例1-WINdows+IIS+SQL-日志,搜索

故事回顾:某小企业反应自己的网站出现异常,请求支援

---思路:进入网站服务器,通过配置文件找到网站日志目录,打开日志,搜索分析(iis搭建的靶场,但是好像没有加载MDB数据库)

应急响应-web&win&linux_第2张图片

---在iis上可以查看日志的路径

应急响应-web&win&linux_第3张图片

查看日志文件

点击选择字段也可以选择记录更多的信息

应急响应-web&win&linux_第4张图片

在日志里搜索关键词来判断攻击方式

---通过工具的指纹查询:(sqlmap/冰蝎/蚁剑/awvs/xray等的浏览器头部,当然也可能是百度、谷歌的爬虫)

---这里其实要综合考虑网站的功能,看是否存在文件上传,sql注入等多种漏洞层面

应急响应-web&win&linux_第5张图片

案例二 Linux+BT_Nginx+tp5-日志,后门

---在宝塔的控制端,查看网站的访问日志

应急响应-web&win&linux_第6张图片

利用工具进行目录查杀

应急响应-web&win&linux_第7张图片

可以根据根据日志定位,查看ip

应急响应-web&win&linux_第8张图片

根据ip定位看看攻击者的日志

应急响应-web&win&linux_第9张图片

360 星图日志自动分析工具-演示,展望

--360星图介绍:

https://www.cnblogs.com/xiaozi/p/13198071.html 10款日志分析工具

#配置360星图的日志的路径(缺点:只能识别iis,apache,nginx)

应急响应-web&win&linux_第10张图片

---点击start.bat运行分析,在result中查看分析结果

---这分析感觉好拉胯,和视频里面的版本还不一样只有常规日志,没有攻击日志

应急响应-web&win&linux_第11张图片

---其他日志该怎么分析?ELK,Splunk配合使用--ELK,Splunk是蓝队必备工具

---因为大型网站的日志非常大,不像自己的网站需要用到大数据进行分析。

Linux+Javaweb+st2-日志,后门,时间

#故事回顾:群友接到客户的反馈要求简要分析攻击方式,找出漏洞,修复并溯源

应急响应-web&win&linux_第12张图片

#分析流程

---根据客户给到的时间去查看日志,发现这个时间段前面都是get,后期都是post,明显黑客以及连接上了webshell,通过这里获取黑客ip

---搜索黑客的ip,查看他在各个时间段进行了那些操作

---在实战中,日志每天都会产生,黑客很可能不是只在一天攻击,前期很可能进行踩点,因此分析多天的日志很有必要。这里采用FileSeek文件搜索工具

---下图应该查询黑客的ip,看那些时间段的日志出现看黑客的ip

---这里发现都在一个时间段的文件,这里思路就断了。

应急响应-web&win&linux_第13张图片

这里根据线索,黑客留下的有后门文件,看看谁访问了caiyun.txt

发现另一个ip的在访问这个文件,可以查看这个ip的日志记录

应急响应-web&win&linux_第14张图片

应急响应-web&win&linux_第15张图片

看到对应攻击文件

Windows&linux分析后门&勒索病毒&攻击

---1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等)。

---2.常见分析:计算机账户,端口,进程,网络,启动(木马需要运行,除了伪装成正常文件就是自启动),服务,任务,文件(文件权限)等安全问题

#常见日志类别及存储:

---Windows,Linux(服务应用,登录时间)

攻击响应-暴力破解(RDP,SSH)-Win,Linux

Windows:打开服务器管理器

应急响应-web&win&linux_第16张图片

右键打开计算机管理器,点开事件查看器,里面有各种日志

应急响应-web&win&linux_第17张图片

--- windows自带日志工具不好用,查找分析不方便,推荐使用插件LogFusion

黑客用爆破工具攻击3389端口RDP协议远程连接主机

应急响应-web&win&linux_第18张图片

日志分析到大量登录失败,分析到黑客爆破攻击

linux系统采用22端口ssh协议爆破

应急响应-web&win&linux_第19张图片

#Linux的Ubuntu日志分析

---linux日志位置:/var/log

应急响应-web&win&linux_第20张图片

---输出登录爆破的第一行和最后一行,确认爆破时间范围:

---grep "Failed password" /var/log/auth.log|head -1

---grep "Failed password" /var/log/auth.log|tail -1

---进一步定位有哪些 IP 在爆破?(通过两次匹配来找ip,前面的应该是出现的次数)

---grep "Failed password" /var/log/auth.log |grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr

---爆破用户名字典都有哪些?

---grep "Failed password" /var/log/auth.log |perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

应急响应-web&win&linux_第21张图片

---登录成功的日期、用户名、IP(这个和last命令效果一样):

---grep "Accepted " /var/log/auth.log | awk '{print $1,$2,$3,$9,$11}'

应急响应-web&win&linux_第22张图片

---登录成功的次数和ip

---grep "Accepted " /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more

控制相应-后门木马(webshell,pc)-win,linux

 #windows执行木马,CS上线,模拟攻击

---如果cs不能上线,记得关闭Linux的防火墙:systemctl stop firewall (自己的远程服务器)

---TCPView工具,可以查看哪个进程与远程IP通信过,从而确定系统是否曾经遭受过攻击。(windows自带工具,不推荐)

应急响应-web&win&linux_第23张图片

---Process Explorer工具,可以查看分析进程(windows自带)

---在桌面进进程中,day.exe没有厂商信息

---点开可以看进程ip,路径,用户,开始时间等等

应急响应-web&win&linux_第24张图片

---PCHunter工具。集成了查看进程和ip通信和进程查看。

---缺点是:windows高版本网络信息获取不全。比如木马在windows7执行后,该工具可以获取网络信息

---黑色的为系统进程,蓝色的为非系统进程

应急响应-web&win&linux_第25张图片

---但是我win2012的这个day.exe的网络信息并没有查看到

---不同版本的windows的网络信息不一样,这也是他的缺点

 ---这里还可以查看启动项的信息

应急响应-web&win&linux_第26张图片

---UserAssistView工具,可以看到所有在windows系统上执行过的文件的时间(判断黑客在什么时候进行入侵,分析入侵前是如何入侵的,入侵后做了啥)

应急响应-web&win&linux_第27张图片

---logonsession工具,可以看到当前主机有哪些会话连接过,从而分析有没有过远程攻击

---总的来说:PCHunter+UserAssistView+logonsession最好

应急响应-web&win&linux_第28张图片

危害相应-病毒感染(勒索Wannacry)-Windows

---[下载]永恒之蓝样本: https://bbs.pediy.com/thread-217586-1.html

---推荐2个勒索病毒解密网站

安全卫士勒索病毒专题:文件恢复_安全卫士离线救灾版_文档卫士

主页面 | The No More Ransom Project

---下载勒索病毒样本,在虚拟机上执行(不要在本机执行,谨慎执行)

应急响应-web&win&linux_第29张图片

---打开任何文件都乱码,弹框

应急响应-web&win&linux_第30张图片

---可以使用360勒索病毒解密网站进行病毒查询、在线解密等。

应急响应-web&win&linux_第31张图片

---也可以使用nomoreransom网站尝试解密。

---下载电脑管家、360、火绒等等利用小工具解密(不一定成功)

应急响应-web&win&linux_第32张图片

自动化响应检测-Gscan多重功能脚本测试-Linux

--自动化响应检测工具:GScan、chkrootkit、rkhunter、lynis

---GScan下载:https://github.com/grayddq/GScan/

--- GScan功能:1、主机信息获取2、系统初始化alias检查3、文件类安全扫描4、各用户历史操作类5、进程类安全检测6、网络类安全检测7、后门类检测8、账户类安全排查9、日志类安全分析10、安全配置类分析11、Rootkit分析12.WebShell类文件扫描---Python3运行文件---扫描的结果---netstat -ntl可以查看tcp端口等,再通过ps命令找到对应的进程,分析其是否是木马病毒---ps命令显示linux进程信息,进程信息主要包括进程用户、pid、内存、cpu、启动时间、路径、终端等

---Python3运行文件

应急响应-web&win&linux_第33张图片

---扫描的结果

应急响应-web&win&linux_第34张图片

netstat -ntl可以查看tcp端口等,再通过ps命令找到对应的进程,分析其是否是木马病毒

应急响应-web&win&linux_第35张图片

ps命令显示linux进程信息,进程信息主要包括进程用户、pid、内存、cpu、启动时间、路径、终端等

#补充资料:

---应急响应大合集 - 先知社区

---值得收藏!史上最全Windows安全工具锦集 - SecPulse.COM | 安全脉搏

---Sysinternals - Sysinternals | Microsoft Learn

#病毒分析

---PCHunter:http://www.xuetr.com

---火绒剑:https://www.huorong.cn

---Process Explorer:

进程资源管理器 - Sysinternals | Microsoft Learn

---processhacker:

Downloads - Process Hacker

---autoruns:

Autoruns for Windows - Sysinternals | Microsoft Learn

---OTL:https://www.bleepingcomputer.com/download/otl/

---SysInspector:

下载-杀毒软件下载,防病毒,反木马 - ESET NOD32中国官方网站

#病毒查杀

---卡巴斯基:

http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe

---大蜘蛛:http://free.drweb.ru/download+cureit+free

---火绒安全软件:https://www.huorong.cn

---360 杀毒:http://sd.360.cn/download_center.html

#病毒动态

---CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn

---微步在线威胁情报社区:https://x.threatbook.cn

---火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html

---爱毒霸社区:http://bbs.duba.net

---腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html

#在线病毒扫描网站

---VirScan - 多引擎文件在线检测平台 //多引擎在线病毒扫描网

---腾讯哈勃分析系统 //腾讯哈勃分析系统

---Jotti's malware scan //Jotti 恶意软件扫描系统

---ScanVir - 云鉴定网 - 威胁情报|云扫描|多引擎在线杀毒|可疑文件分析 //计算机病毒、手机病毒、可疑文件分析

 

你可能感兴趣的:(前端,linux,运维)