#操作系统(windows,linux)应急响应:
1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等)。
2.常见分析:计算机账户,端口,进程,网络,启动(木马需要运行,除了伪装成正常文件就是自启动),服务,任务,文件(文件权限)等安全问题
常见日志类别及存储:
Windows,Linux
日志文件默认存储路径
补充资料:
10款常见的Webshell检测工具:https://xz.aliyun.com/t/485
史上最全Windows安全工具锦集:https://www.secpulse.com/archives/114019.html
Sysinternals:https://docs.microsoft.com/en-us/sysinternals/
病毒分析:
PCHunter:www.anxinsec.com
火绒剑:https://www.huorong.cn
Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
Process Hacker:https://processhacker.sourceforge.io/downloads.php
AutoRuns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL(无法访问):https://www.bleepingcomputer.com/download/otl/
sysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector
病毒查杀:
卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
大蜘蛛:http://free.drweb.ru/download+cureit+free
火绒安全软件:https://www.huorong.cn
360杀毒:http://sd.360.cn/download_center.html
病毒动态:
CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn
微步在线威胁情报社区:https://x.threatbook.cn
火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html
爱毒霸社区:http://bbs.duba.net
腾讯电脑管家:http://bbs.guanjia.qq.com
在线病毒扫描网站:
多引擎在线病毒扫描网:http://www.virscan.org
腾讯哈勃分析系统:https://habo.qq.com
Jotti恶意软件扫描系统:https://virusscan.jotti.org
ScanVir:http://www.scanvir.com
木马和病毒是两个东西,木马是控制电脑,病毒是把电脑里面的文件什么的搞得不正常,比如勒索病毒。
这个直接打开事件查看器
主要的就是应用程序,安全,系统这三个,但是看着比较麻烦,还有id对应的意思也要去网上查,
windows自带日志工具不好用,查找分析不方便,推荐使用插件LogFusion
利用工具rdp爆破之后
日志就看到了大量的登陆失败,还可以双击某一条查看详细信息
然后id4624代表成功,可以搜一下4624看看有没有被爆破成功
然后就可以看到那个ip登录成功了
通常都在var/log下面
Linux-grep筛选:
1、统计日志中“Failed password”出现过多少次,确认服务器遭受多少次暴力破解
grep -o "Failed password" /var/log/secure|uniq -c
2、输出登录爆破的第一行和最后一行,确认爆破时间范围
grep "Failed password" /var/log/secure|head -1 第一次
grep "Failed password" /var/log/secure|tail -1 最后一次
3、筛选IP地址,定位有哪些IP在爆破
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr
4、筛选爆破字典,确定爆破用户名字典都有哪些
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
5、筛选登录成功的日期、用户名、IP
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
只要指定文件正确,这些口令就直接复制粘贴就行
背景;用cs在靶机上植入木马exe文件,运行之后,在cs上线
TCPView能筛选网络进程的链接指向,是官方工具
打开TCPView,点击“Remote Address”筛选远程主机
TCPView可能发现不了后门进程
Process Explorer可以查看当前运行的所有进程,是官方工具
找到问题进程可以右键“属性”,查看进程的详细信息
PCHunter是一个集成化工具
蓝颜色就不是系统自带的,然后后门还有厂商介绍,没有厂商就很可能是恶意文件进程,但是如果apt入侵的话,上传的马都是免杀的,而且改有信息的都有,甚至伪装成杀软信息
在这里会展示每一个盘下面的隐藏文件,因为木马还会做隐藏,
木马会设置计划任务或者开机自启动
UserAssistView可以查看文件执行记录,是官方工具
找到后门文件后,可以通过该文件查看后门文件的执行情况
LogonSessions可以查看当前会话,是官方工具
Autoruns可以查看Windows上的自启动项目
自动化响应检测工具:GScan、chkrootkit、rkhunter、lynis
GScan下载:https://github.com/grayddq/GScan/
启动使用之后
运行Gscan
弱点建议提示哪里可能被作为入侵点,和攻击风险都会有介绍在什么时候被什么攻击过,
除Gscan外,还有chkrootkit、rkhunter、lynis等工具
经典勒索病毒
打开什么文档文件,都会弹出这个界面
它属于逆向的技术
推荐2个勒索病毒解密网站
https://lesuobingdu.360.cn/
上传文件分析
https://www.nomoreransom.org/zh/index.html
上传加密文件,会给出是那种加密类型,还会给出解密建议,如何下载它建议的软件,
都有可能解密不成功
中毒原因;ms10170,没打补丁,自己在网上乱下东西
fu