安全应急之网络异常排查win&linux-20150805

0x00说明 
安全应急有可能会收到网络异常类任务,浅谈排查方法。欢迎大牛补充 

0x01 Windows排查防范 
1. 查看目前的网络连接情况,定位可疑网络连接(结合业务访问排查) 
netstat -b -n (管理员权限) 
2. 通过网络连接进一步确认可疑连接的PID 
netstat -ano 
3. 根据PID确定是那个进程 
tasklist | findstr xxx 
4. 确定此进程的用途以及可否杀死 
taskkill /T /F /PID 3036 
5. 其他 
若以上几步没有解决,使用PC Hunter(基于XueTr源码重新开发)工具对其进行深度排查 

0x02 Linux 
1. 确定系统自身的命令是否被恶意替换,如ls、netstat 
使用chkrootkit、rkhunter类工具检查下是否存在恶意程序及恶意替换 
2. 查看linux自身的网络连接,并定位可疑程序的PID 
netstat  -antpl 
3. 根据pid查找执行文件的及其路径 
lsof -p PID 
4. 进一步排查 
cd /proc/pidnumber 
ls -ail 
安全应急之网络异常排查win&linux-20150805_第1张图片  
5. 杀掉对应恶意程序或进程 
5.1 可将/proc/pidnumber 下的恶意程序直接rm –rf 
5.2 根据进程号直接杀死进程 kill -9 pidnumber 
6.其他一些可能用到的命令 
6.1 分析access.log获得访问前10位的ip地址 
awk '{print $1}' access.log |sort|uniq -c|sort -nr|head -10 
6.2 查看连接某服务端口最多的的IP地址 
netstat -nat | grep "192.168.1.15:1234" |awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -20 

0x03 抛砖,大牛补充




小表哥   |  2015-08-05 18:17

只搞win下的:
     32位用wsyscheck,从自启动、服务里找,最重要的是杀白金这类注入进程的需要他的卸载模块功能,你kill进程立即重启。
     64位任务管理器加注册表编辑器足够了,右键转至服务非常好用,除了挖矿的,其他的木马后门都会*32,直接kill,kill不了的注册表里改了然后重启。
     这个算我的专业了,为了练技术,我都是找万人轮的服务器练习。目前除了几种新的感染类的,其他的都能给你搞得像处女一样。




HRay (。。。)   |  2015-08-07 09:52

1.装了rootkit别多想,下线服务器,分析后重装系统
2.“5.1 可将/proc/pidnumber 下的恶意程序直接rm –rf ” 我觉得先stat看下文件的创建时间,结合这个时间再去看log更好些
3.你分析accesslog访问ip的top10很有可能获取到的都是爬虫的ip,还是结合特定的时间看log筛选出特征(比如webshell的地址或者一些攻击payload)有条件的筛选更好些
4.还有些入侵可能是通过其他服务比如ssh弱口令之类的,同样可以结合/var/log下面的文件看看
5.对于一些已发现的二进制后门文件,不要求非要做到逆向分析,单纯的strings一般也可以找到有用信息,结合这些信息去google或许有新的收获




小表哥   |  2015-08-08 18:19

@小博博 也不知道没什么这方面的书籍,这个经验可以自己总结。主要是能自己亲手处理的案例少,没亲手处理根本没法积累经验。你可以像我这样找那些万人轮的练习,五花八门的漏洞以及后门,而且能遇到各种各样的书上案例没遇到的意外情况。 而且有非常多的让你练习,最重要的是。。。。一不小心搞崩了。。就当早死早投胎吧。。万人轮的机器开机越久越危险,扫端口,传木马,内网乱窜。早重装也是极好的。。


你可能感兴趣的:(安全应急之网络异常排查win&linux-20150805)