【应急响应】2020应急响应基础-Windows、Linux合集

当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。

常见的应急响应事件分类

web入侵：网页挂马、主页篡改、Webshell

系统入侵：病毒木马、勒索软件、远控后门

网络攻击：DDOS攻击、DNS劫持、ARP欺骗

入侵排查思路

web入侵：对中间件日志进行分析

系统入侵：计划任务，系统爆破痕迹（系统日志），进程进行分析

网络攻击：流量分析

1.1.1 检查服务器是否有弱口令

1.1.2 检查远程管理端口是否对公网开放

1.1.3 查看服务器是否存在可疑账号、新增账号

打开 cmd 窗口，输入lusrmgr.msc命令，查看是否有新增/可疑的账号，如有管理员群组的（Administrators）里的新增账户，如有，请立即禁用或删除掉。

1.1.4 查看服务器是否存在隐藏账号、克隆账号

a、打开注册表 ，查看管理员对应键值。

b、使用D盾_web查杀工具，D盾_web查杀集成了对克隆账号检测的功能

c、windows账号信息，隐藏账号

打开 cmd 窗口，输入lusrmgr.msc命令，用户名以

1.2.1 检查端口连接情况，是否有远程连接、可疑连接

a、通过netstat查看目前的网络连接，定位可疑的ESTABLISHED

b、根据netstat 定位出的pid，再通过tasklist命令进行进程定位

1.2.2 检查进程

a、开始–运行–输入msinfo32，依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息，比如进程路径、进程ID、文件创建日期、启动时间等。

b、打开D盾_web查杀工具，进程查看，关注没有签名信息的进程。

c、通过微软官方提供的 Process Explorer 等工具进行排查 。

d、查看可疑的进程及其子进程。可以通过观察以下内容：

• 没有签名验证信息的进程

• 没有描述信息的进程

• 进程的属主

• 进程的路径是否合法

• CPU或内存资源占用长时间过高的进程

1.3.1 任务计划程序

控制面板 — 管理工具 — 任务计划程序，或运行 — taskschd.msc，或通过命令查看计划任务 schtasks

存放计划任务的文件

• C:WindowsSystem32Tasks
• C:WindowsSysWOW64Tasks
• C:Windows asks
• *.job（指文件）

1.3.2 自启动

【开始】-【运行】- 【输入shell:startup】，查看是否存在开机自启动项目

1.3.3 组策略

【开始】-【运行】- 【输入gpedit.msc】，查看是否存在脚本启动

查看 host ：

cmd运行如下命令：

查看Recent：

Recent是系统文件夹，里面存放着你最近使用的文档的快捷方式，查看用户recent相关文件，通过分析最近打开分析可疑文件：

单击【开始】>【运行】，输入%UserProfile%Recent，分析最近打开分析可疑文件。

查看temp：

路径为 C:WindowsTemp。查看temp(tmp)相关目录下有无异常文件 ：Windows产生的临时文件

查看shift：

连按shift键5次，查看是否存在后门

查看ntfs数据流：

**tomcat：**安装目录下logs文件夹localhost_access_log.日期.txt (我们分析一般针对这个进行分析)

这个是存放访问tomcat的请求的所有地址以及请求的路径、时间，请求协议以及返回码等信息(重要)

例如：

**apache：**安装目录下logs文件夹 access.log（格式与tomcat一致）

打开控制面板——系统和安全——查看事件日志（或eventvwr.msc），就进入了事件查看器

打开左侧事件查看器（本地）——Windows日志——安全

进行事件筛查，重要的事件 ID（安全日志，Security.evtx）：

• 4776：远程登陆（如3389）到本机日志
• 4624：用户账户登录成功
• 4625：用户账户登录失败
• 1102：记录安全审计日志清除事件
• 4720：创建用户
• 4726：删除用户
• 4732：将成员添加到启用安全的本地组中
• 4733：将成员从启用安全的本地组中移除
• 4728：将成员添加到启用安全的全局组中
• 4729：将成员从启用安全的全局组中移除

如果服务器内有运行对外应用软件（WWW、FTP 等），应对软件进行配置，限制应用程序的权限，禁止目录浏览或文件写权限

1. 系统确认被入侵后，往往系统文件会被更改和替换，此时系统已经变得不可信，最好的方法就是重新安装系统， 同时给新系统安装所有补丁。

2. 改变所有系统账号的密码为复杂密码（至少与入侵前不一致）。

3. 修改默认远程桌面端口，操作如下：
   单击【开始】>【运行】，然后输入 regedit。
   打开注册表，进入如下两处路径，修改下右侧的 PortNamber 值为其他值

4. 配置安全组防火墙白名单，只允许指定 IP 才能访问远程桌面端口。

5. 定期备份重要业务数据和文件。

6. 定期更新操作系统及应用程序组件版本（如 FTP、Struts2 等），防止被漏洞利用。

3.1.1 基本使用

1、用户信息文件/etc/passwd

2、影子文件/etc/shadow

3、用户查看基本命令

3.1.2 入侵排查

1、查询特权用户(uid 为0)

2、查询可以远程登录的帐号信息

3、除root帐号外，其他帐号是否存在sudo权限。如非管理需要，普通帐号应删除sudo权限

4、禁用或删除多余及可疑的帐号

通过.bash_history文件查看帐号执行过的系统命令

使用netstat 网络连接命令，分析可疑端口、IP、PID

查看下pid所对应的进程文件路径

使用ps命令，分析进程

开机启动配置文件目录

检查不同等级启动目录下的启动项，如：

3.6.1 基本使用

1、crontab创建计划任务

2、利用anacron实现异步定时任务调度

每天运行 /home/backup.sh脚本

当机器在 backup.sh 期望被运行时是关机的，anacron会在机器开机十分钟之后运行它，而不用再等待 7天。

3.6.2 入侵排查

重点关注以下目录中是否存在恶意脚本

3.7.1 基本使用

1、通过chkconfig（该工具基于redhat）修改服务启动状态

2、通过rc.local文件修改服务启动状态

3.7.2 入侵排查

查询已安装的服务：

• RPM包安装的服务

• 源码包安装的服务

1、查看敏感目录，如/tmp目录下的文件，同时注意隐藏文件夹，以“…”为名的文件夹具有隐藏属性

2、得到发现WEBSHELL、远控木马的创建时间，如何找出同一时间范围内创建的文件？可以使用find命令来查找，如：

iname：文件名不区分大小写
atime ：最近一次文件访问的时间
mtime：最近一次文件内容被修改的时间
ctime：最近一次文件属性改变的时间
type ：文件类型

针对可疑文件可以使用stat命令查看文件属性，如：

3.9.1 linux日志介绍

日志默认存放位置：/var/log/

查看日志配置情况：more /etc/rsyslog.conf

3.9.2 日志分析技巧：

1、定位有多少IP在爆破主机的root帐号：

定位有哪些IP在爆破：

爆破用户名字典是什么：

2、登录成功的IP有哪些：

登录成功的日期、用户名、IP：

3、增加用户日志：

4、删除用户日志：

5、sudo授权：

Rootkit是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit一词更多地是指被作为驱动程序，加载到操作系统内核中的恶意软件。

4.1.1 chkrootkit（推荐）

网址：http://www.chkrootkit.org

4.1.2 rkhunter

网址：http://rkhunter.sourceforge.net

4.2.1 Clamav

ClamAV的官方下载地址为：http://www.clamav.net/download.html

安装方式一：

安装方式二：

系统完整性可以通过rpm自带的-Va来校验检查所有的rpm软件包，查看哪些命令是否被替换了：

如果一切均校验正常将不会产生任何输出，如果有不一致的地方，就会显示出来，输出格式是8位长字符串，每个字符都用以表示文件与RPM数据库中一种属性的比较结果 ，如果是. (点) 则表示测试通过。

如果命令被替换了，如何还原回来：

Github项目地址：

https://github.com/grayddq/GScan

https://github.com/ppabc/security_check

https://github.com/T0xst/linux

勒索病毒采用非对称加密，能否解密全凭运气，因此平时还是要注意勤打补丁多备份。

该指南介绍通过勒索病毒索引引擎查找勒索病毒相关信息，再通过各个安全公司提供的免费勒索软件解密工具解密。

在勒索病毒搜索引擎输入病毒名、勒索邮箱、被加密后文件的后缀名，或直接上传被加密文件、勒索提示信息，即可快速查找到病毒详情和解密工具。

【360】 勒索病毒搜索引擎，支持检索超过800种常见勒索病毒，

【腾讯】 勒索病毒搜索引擎，支持检索超过 300 种常见勒索病毒

【启明】VenusEye勒索病毒搜索引擎，超300种勒索病毒家族

【奇安信】勒索病毒搜索引擎

【深信服】勒索病毒搜索引擎

这些网站的解密能力还在持续更新中，是值得收藏的几个勒索病毒工具型网站。

很多安全公司都提供了免费的勒索病毒解密工具下载，收集和整理相关下载地址，可以帮助我们了解和获取最新的勒索病毒解密工具。

【腾讯哈勃】勒索软件专杀工具

【金山毒霸】勒索病毒免疫工具

【火绒】安全工具下载

【瑞星】解密工具下载

【nomoreransom】勒索软件解密工具集

【MalwareHunterTeam】勒索软件解密工具集

【卡巴斯基】免费勒索解密器

【Avast】免费勒索软件解密工具

【Emsisoft】免费勒索软件解密工具

【Github项目】勒索病毒解密工具收集汇总