安全应急之网络异常排查win&linux-20150805

0x00说明 
安全应急有可能会收到网络异常类任务，浅谈排查方法。欢迎大牛补充 

0x01 Windows排查防范 
1. 查看目前的网络连接情况，定位可疑网络连接（结合业务访问排查） 
netstat -b -n (管理员权限) 
2. 通过网络连接进一步确认可疑连接的PID 
netstat -ano 
3. 根据PID确定是那个进程 
tasklist | findstr xxx 
4. 确定此进程的用途以及可否杀死 
taskkill /T /F /PID 3036 
5. 其他 
若以上几步没有解决，使用PC Hunter（基于XueTr源码重新开发）工具对其进行深度排查 

0x02 Linux 
1. 确定系统自身的命令是否被恶意替换，如ls、netstat 
使用chkrootkit、rkhunter类工具检查下是否存在恶意程序及恶意替换 
2. 查看linux自身的网络连接，并定位可疑程序的PID 
netstat  -antpl 
3. 根据pid查找执行文件的及其路径 
lsof -p PID 
4. 进一步排查 
cd /proc/pidnumber 
ls -ail 
 
5. 杀掉对应恶意程序或进程 
5.1 可将/proc/pidnumber 下的恶意程序直接rm –rf 
5.2 根据进程号直接杀死进程 kill -9 pidnumber 
6.其他一些可能用到的命令 
6.1 分析access.log获得访问前10位的ip地址 
awk '{print $1}' access.log |sort|uniq -c|sort -nr|head -10 
6.2 查看连接某服务端口最多的的IP地址 
netstat -nat | grep "192.168.1.15:1234" |awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -20 

0x03 抛砖,大牛补充

小表哥   |  2015-08-05 18:17

只搞win下的：
     32位用wsyscheck，从自启动、服务里找，最重要的是杀白金这类注入进程的需要他的卸载模块功能，你kill进程立即重启。
     64位任务管理器加注册表编辑器足够了，右键转至服务非常好用，除了挖矿的，其他的木马后门都会*32，直接kill，kill不了的注册表里改了然后重启。
     这个算我的专业了，为了练技术，我都是找万人轮的服务器练习。目前除了几种新的感染类的，其他的都能给你搞得像处女一样。

HRay (。。。)   |  2015-08-07 09:52

1.装了rootkit别多想，下线服务器，分析后重装系统
2.“5.1 可将/proc/pidnumber 下的恶意程序直接rm –rf ” 我觉得先stat看下文件的创建时间，结合这个时间再去看log更好些
3.你分析accesslog访问ip的top10很有可能获取到的都是爬虫的ip，还是结合特定的时间看log筛选出特征（比如webshell的地址或者一些攻击payload）有条件的筛选更好些
4.还有些入侵可能是通过其他服务比如ssh弱口令之类的，同样可以结合/var/log下面的文件看看
5.对于一些已发现的二进制后门文件，不要求非要做到逆向分析，单纯的strings一般也可以找到有用信息，结合这些信息去google或许有新的收获

小表哥   |  2015-08-08 18:19

@小博博 也不知道没什么这方面的书籍，这个经验可以自己总结。主要是能自己亲手处理的案例少，没亲手处理根本没法积累经验。你可以像我这样找那些万人轮的练习，五花八门的漏洞以及后门，而且能遇到各种各样的书上案例没遇到的意外情况。 而且有非常多的让你练习，最重要的是。。。。一不小心搞崩了。。就当早死早投胎吧。。万人轮的机器开机越久越危险，扫端口，传木马，内网乱窜。早重装也是极好的。。