应急响应常用命令

应急响应的基本思路

a. 收集信息:收集告警信息、客户反馈信息、设备主机信息等
b. 判断类型:安全事件类型判断。(钓鱼邮件、Webshll、爆破、中毒等)
c. 控制范围:隔离失陷设备
d. 分析研判:根据收集回来的信息进行分析e. 处置:根据事件类型进行处置(进程、文件、邮件、启动项、注册表排查等)
f. 输出报告

应急响应常用命令

1.linux下常用命令

1.1查看用户信息
/etc/passwd   查看用户信息文件/etc/shadow  查看影子文件awk -F: '$3==0{print $1}' /etc/passwd  (查看系统是否还存在其他的特权账户,uid为0,默认系统只存在root一个特权账户)who     查看当前登录用户(tty 本地登陆  pts 远程登录)w       查看系统信息,想知道某一时刻用户的行为uptime  查看登陆多久、多少用户,负载passwd  -d username 删除用户密码stat /etc/passwd #查看密码文件上一次修改的时间,如果最近被修改过,那就可能存在问题。cat /etc/passwd | grep -v nologin #查看除了不可登录以外的用户都有哪些,有没有新增的cat /etc/passwd | grep x:0 #查看哪些用户为root权限,有没有新增的cat /etc/passwd | grep /bin/bash #查看哪些用户使用shell查询可以远程登录的账号:awk  ‘/\$1|\$6/{print $1}’  /etc/shadow查询具有sudo权限的账号:more /etc/sudoers | grep -v  “^#\|^$”  grep “ALL=(ALL)”
1.2.历史命令
很多的服务器会有存在多用户登陆情况,登陆root用户可查看其他用户的相关账户登录信息,.bash_history保存了用户的登陆所操作的命令信息home/root/.bash_historyhistory查看历史命令cat .bash_history >>history.txt   保存历史命令
1.3.查看端口

`netstat –antp` #查看对应链接的文件路径ls -l /proc/pid/exe  ls -l /proc/*/exe | grep xxx  #如果我们知道恶意程序的启动文件大致位置,可以使用这个发现无文件的恶意进程netstat -antlp | grep 172.16.222.198 | awk '{print $7}' | cut -f1 -d"/"  通过可疑的ip地址获取程序pid

1.4.查看进程

ps   -aux #查看相关pid对应程序
ps –aux | grep pid  #监控某一应用线程数(如ssh)
ps -eLf | grep ssh| wc –l #监控网络客户连接数
netstat -n | grep tcp | grep 侦听端口 | wc -l
ps aux --sort=pcpu | head -10   #查看cpu占用率前十的进程,有时候可以发现

1.5.开机启动项

启动项文件:

more /etc/rc.local/etc/rc.d/rc[0~6].dls -l /etc/rc.d/rc3.d/

1.6.定时任务

crontab  -l #编辑定时任务
crontab –e/crontab -u root –l #查看root用户任务计划
ls /var/spool/cron/  #查看每个用户自己的执行计划
#删除计划任务且控制计划任务不能写东西sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab常见的定时任务文件:/var/spool/cron/*  #centos的/var/spool/cron/crontabs/* #ubuntu的/var/spool/anacron/*/etc/crontab/etc/anacrontab/etc/cron.hourly/*/etc/cron.daily/*/etc/cron.weekly//etc/cron.monthly/*

1.7.服务

chkconfig #查看开机启动项目chkconfig  --list  (systemctl list-unit-files |grep enabled)#查看服务自启状态

1.8.查找文件

find /home1 -name *.php ! -name index.php #find查找指定的文件find查看最近一天修改的文件: find / -mtime -1 > /etc/aa.txt#(查看修改的文件并保存到aa的txt文档)find . -name .svn | xargs rm –rf #查找并删除find / -size +10000k -print:#查找大于10000k的文件md5sum -b filename:#查看文件的md5值

1.9.top命令

top命令是Linux下常用的性能分析工具,能够实时显示系统中各个进程的资源占用状况,类似于Windows的任务管理器。默认top是根据cpu的占用情况进行排序的可通过按“b”键进行切换,可切换到按照内存使用情况进行排序top  -p pid  #监控指定进程free #查看当前系统内存使用情况top -b -n1 | head

1.10.host文件

有一些挖矿程序会修改 /etc/hosts文件

1.11.日志分析

默认日志位置:var/log

1、定位有多少IP在爆破主机的root帐号:

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

定位有哪些IP在爆破:

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

爆破用户名字典是什么?

grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

2、登录成功的IP有哪些:

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

登录成功的日期、用户名、IP:

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

Linux中的命令,Diff,可以查看两个文本文件的差异。

1.12.查看命令状态

很多情况下,存在ps、netstat等一些常见命令被替换,可利用stat查看该状态,查看其修改时间

stat /bin/netstat

1.13.文件清除

很多时候会遇到无法查看文件权限或是病毒在一直向某个文件写入程序,可尝试如下命令:

lsattr [恶意文件绝对路径]命令查看权限,

使用chattr -i [恶意文件绝对路径]解除文件锁定后删除。

chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/(chattr +i不让lib文件被写入删除)

结束某一进程:

Kill  -9  pid

2.windows下常用命令

2.1账号安全

query user  查看当前登录账户

logoff ID 注销用户id

net  user 查看用户

net user username 查看用户登录情况

lusrmgr.msc 打开本地用户组

regedit注册表查看账户,确认系统是否存在隐藏账户

利用LogParser.exe查看event日志,查询用户登录情况

LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,5,'|') AS USERNAME,EXTRACT_TOKEN(Strings,5,'|') AS SERVICE_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM 'C:\Users\haha\Desktop\Security.evtx' WHERE EventID=4624"

LogParser.exe日志分析工具更多用法可参考:

https://wooyun.js.org/drops/windows安全日志分析之logparser篇.html

2.2检查异常端口进程

查看目前连接:

netstat  -ano

一般是查看已经成功建立的连接:

netstat -ano | findstr "ESTABLISHED"

根据pid定位程序名称

tasklist  | findstr  "pid"

运行中输入msinfo32,可打开系统信息,在“正在运行任务”中可获取进程详细信息,包括进程的开始时间、版本、大小等信息。

根据端口查看pid

netstat -ano | findstr "8080"

利用wmic查看进程执行时的命令

Wmic process where name='irefox.exe' get name,Caption,executablepath,CommandLine ,processid,ParentProcessId  /value

Wmic process where processid='2040' get name,Caption,executablepath,CommandLine ,processid,ParentProcessId  /value

2.3启动项检查

msconfig查看系统启动项

查看注册表是否有异常启动项

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

2.4查看系统定时任务

Cmd下运行schtasks(win7系统利用at),查看定时任务

C:\Windows\System32\Tasks  查看任务清单

删除任务计划

建议删除任务计划时以管理员登录

SchTasks /Delete /TN  任务计划名称

2.5查看系统服务

Services.msc

删除服务可从任务管理器中手动删除,也可使用命令:

sc stop [服务名称]停止服务后,

sc delete [服务名称]删除服务

2.6文件查看

查看最近打开的文件,运行窗口中输入“%UserProfile%\Recent”

被拿shell了如何处理

基于PDCERF模型将应急响应分成6个阶段工作:准备(Preparation)、检测(Detection)、抑制(Containment)、根除(Eradication)、恢复(Recovery)、跟踪(Follow-up)。

1.Prepare(准备):分析资产的风险、组建管理 人员团队、风险加固、保障资源储备、技术支持资源库

2.Detection(检测):日常运维监控、事件判断、事件上报:包括防火墙、系统、web服务器、IDS/WAF/SIEM中的日志,不正常或者是执行了越权操作的用户,甚至还有管理员的报告

3.Containment(抑制):抑制阶段的主要任务是限制事件扩散和影响的范围。抑制举措往往会对合法业务流量造成影响,最有效的抑制方式是尽可能地靠近攻击的发起端实施抑制

4.Eradication(根除):根除阶段的主要任务是通过事件分析查明事件危害的方式,并且给出清除危害的解决方案。

对事件的确认仅是初步的事件分析过程。事件分析的目的是找出问题出现的根本原因。在事件分析的过程中主要有主动和被动2种方式。主动方式是采用攻击诱骗技术,通过让攻击方去侵入一个受监视存在漏洞的系统,直接观察到攻击方所采用的攻击方法。被动方式是根据系统的异常现象去追查问题的根本原因。

5.Recover(恢复):主要任务是把被破坏的信息彻底地还原到正常运作状态。确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据、打开系统和应用服务、恢复系统网络连接、验证恢复系统、观察其他的扫描、探测等可能表示入侵者再次侵袭的信号。

6.Follow-Up(跟踪):主要任务是回顾并整合应急响应过程的相关信息,进行事后分析总结、修订安全计划、政策、程序并进行训练以防止再次入侵,基于入侵的严重性和影响,确定是否进行新的风险分析、给系统和网络资产制定一个新的目录清单、如果需要,参与调查和起诉。这一阶段的工作对于准备阶段工作的开展起到重要的支持作用。应急响应报告、应急事件调查、应急响应总结

入侵排查

检查帐号

# 禁用或删除多余及可疑的帐号
usermod -L user    # 禁用帐号,帐号无法登录,/etc/shadow 第二栏为 ! 开头
userdel user       # 删除 user 用户
userdel -r user    # 将删除 user 用户,并且将 /home 目录下的 user 目录一并删除

历史命令

# 历史命令
history
# 进入用户目录下,导出历史命令
cat .bash_history >> history.txt

检查异常端口

# 使用 netstat 网络连接命令,分析可疑端口、IP、PID
netstat -antlp | more
# 查看下 pid 所对应的进程文件路径
ls -l /proc/$PID/exe 或 file /proc/$PID/exe($PID 为对应的 pid 号)

检查异常进程

# 使用 ps 命令,分析进程
ps aux | grep pid
ps -ef | grep pname

检查开机启动项

# 查看运行级别命令
runlevel
# 系统默认允许级别
vi /etc/inittab
id=3:initdefault #系统开机后直接进入哪个运行级别
# 开机启动配置文件
/etc/rc.local
/etc/rc.d/rc[0~6].d

检查定时任务

# 利用 crontab 创建计划任务
# 基本命令
crontab -l  # 列出某个用户cron服务的详细内容
crontab -r  # 删除每个用户cront任务(谨慎:删除所有的计划任务)
crontab -e  # 使用编辑器编辑当前的crontab文件

检查服务

# 服务自启动
# 第一种修改方法:
chkconfig [--level 运行级别] [独立服务名] [on|off]
chkconfig –level 2345 httpd on  # 开启自启动
chkconfig httpd on  # (默认 level 是2345)
# 第二种修改方法:
# 修改 /etc/re.d/rc.local 文件
# 加入 /etc/init.d/httpd start
# 第三种修改方法:
# 使用 ntsysv 命令管理自启动,可以管理独立服务和 xinetd 服务。

检查异常文件

# 查看敏感目录,如 /tmp 目录下的文件,同时注意隐藏文件夹,以“..”为名的文件夹具有隐藏属性
# 得到发现 WEBSHELL、远控木马的创建时间,如何找出同一时间范围内创建的文件?
# 可以使用 find 命令来查找,如 find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前访问过的文件
# 针对可疑文件可以使用 stat 进行创建修改时间。

检查系统日志

# 日志默认存放

日志分析

Linux日志分析

1. 日志简介

日志默认存放位置:/var/log/

查看日志配置情况:more /etc/rsyslog.conf

比较重要的几个日志:

  • 登录失败记录:/var/log/btmp (lastb)
  • 最后一次登录:/var/log/lastlog (lastlog)
  • 登录成功记录: /var/log/wtmp (last)
  • 登录日志记录:/var/log/secure
  • 目前登录用户信息:/var/run/utmp (w, who, users)

历史命令记录:history 仅清理当前用户:history -c

日志文件

说明

/var/log/cron

记录了系统定时任务相关的日志

/var/log/cups

记录打印信息的日志

/var/log/dmesg

记录了系统在开机时内核自检的信息,也可以使用 dmesg 命令直接查看内核自检信息

/var/log/mailog

记录邮件信息

/var/log/message

记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件

/var/log/btmp

记录错误登录日志,这个文件是二进制文件,不能直接 vi 查看,而要使用 lastb 命令查看

/var/log/lastlog

记录系统中所有用户最后一次登录时间的日志,这个文件是二进制文件,不能直接 vi,而要使用 lastlog 命令查看

/var/log/wtmp

永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,不能直接 vi,而需要使用 last 命令来查看

/var/log/utmp

记录当前已经登录的用户信息,这个文件会随着用户的登录和注销不断变化,只记录当前登录用户的信息。同样这个文件不能直接 vi,而要使用 w, who, users 等命令来查询

/var/log/secure

记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如 SSH 登录,su 切换用户,sudo 授权,甚至添加用户和修改用户密码都会记录在这个日志文件中

2. 日志分析技巧

/var/log/secure

  1. 定位有多少 IP 在爆破主机的 root 帐号:
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

  1. 定位有哪些 IP 在爆破:
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.(25[0-5]|2[0-4][0-9]|[01]?\\[0-9][0-9]?)\\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.[0-9]+"|uniq -c

  1. 爆破用户名字典是什么?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\\n";}'|uniq -c|sort -nr

  1. 登录成功的 IP 有哪些:
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

  1. 登录成功的日期、用户名、IP:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

  1. 增加一个用户 kali 日志:
Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001
Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali, shell=/bin/bash
Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali

grep "useradd" /var/log/secure

  1. 删除用户 kali 日志:
Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'

grep "userdel" /var/log/secure

  1. su 切换用户:
Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)

  1. sudo 授权执行:
sudo -l
Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now

/var/log/yum.log

软件安装升级卸载日志:

yum install gcc
[root@bogon ~]# more /var/log/yum.log
Jul 10 00:18:23 Updated: cpp-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:24 Updated: libgcc-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:24 Updated: libgomp-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:28 Updated: gcc-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:28 Updated: libgcc-4.8.5-28.el7_5.1.i686

windows日志分析

Windows事件日志简介

  • Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
  • 系统和应用程序日志存储着故障排除信息,对于系统管理员更为有用。安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于调查人员而言,更有帮助。

Windows事件日志说明

  • Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。
  • 系统日志,记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。默认位置:
%SystemRoot%\\System32\\Winevt\\Logs\\System.evtx

  • 应用程序日志,包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。默认位置:
%SystemRoot%\\System32\\Winevt\\Logs\\Application.evtx

  • 安全日志,记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。默认位置:
%SystemRoot%\\System32\\Winevt\\Logs\\Security.evtx

Windows事件ID说明

  • 4624 登录成功
  • 4625 登录失败
  • 4634 注销成功
  • 4647 用户启动的注销
  • 4672 使用超级用户(如管理员)进行登录
  • 4720 创建用户

Log Parser日志分析

软件说明

  • Log Parser是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用SQL语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。
  • 下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=24659

Log Parser日志分析

  • 基本查询结构
Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\\xx.evtx"

  • 使用Log Parser分析日志
    登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\\Security.evtx where EventID=4624"


指定登录时间范围的事件:

LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"


提取登录成功的用户名和IP:

LogParser.exe -i:EVT –o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:\\Security.evtx where EventID=4624"


登录失败的所有事件:

LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\\Security.evtx where EventID=4625"


提取登录失败用户名进行聚合统计:

LogParser.exe -i:EVT "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:\\Security.evtx where EventID=4625 GROUP BY Message"


系统历史开关机记录:

LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:\\System.evtx where EventID=6005 or EventID=6006"

其他日志分析工具介绍

  • LogParser Lizard:对于GUI环境的Log Parser Lizard,其特点是比较易于使用,甚至不需要记忆繁琐的命令,只需要做好设置,写好基本的SQL语句,就可以直观的得到结果。
    下载地址:Log Parser GUI. Analyze log files with SQL
  • Event Log Explorer:Event Log Explorer是一款非常好用的Windows日志分析工具。可用于查看,监视和分析跟事件记录,包括安全,系统,应用程序和其他微软Windows的记录被记载的事件,其强大的过滤功能可以快速的过滤出有价值的信息。
    下载地址:Event Log Explorer - Download

权限维持破除隐藏以及后门清除

Linux权限维持破除隐藏以及后门清除

1. 隐藏文件
    • 隐藏:Linux下,文件名称前面有“.”的就是隐藏文件,使用ls -l看不到隐藏文件。
    • 破除隐藏:ls -al
    • 提示:一般在/tmp下,默认存在多个隐藏目录,这些目录是恶意文件常用来藏身的地方。如/temp/.ICE-unix//temp/.Test-unix//temp/.X11-unix//temp/.XIM-unix/
2. 隐藏文件时间戳
    • 隐藏:
touch -r index.php webshell.php #将index.php的时间戳赋给webshell.php
touch -t 1401021042.30 webshell.php #修改时间戳为2014 年 01 月 02日

    • 破除隐藏:
stat webshell.php #查看
ls -al --time=ctime webshell.php


说明 :chmodchown等修改文件权限、所有者,所属组的操作,会更新atimectime的值。

3. 隐藏权限
    • 隐藏:在Linux中,使用chattr命令来防止root和其他管理用户误删除和修改重要文件及目录,此权限用ls -l是查看不出来的,从而达到隐藏权限的目的。
      这个技巧常被用在后门,变成了一些难以清除的后门文件。
    • 破除隐藏:
chattr +i evil.php #锁定文件
lsattr evil.php #属性查看
chattr -i evil.php #解除锁定
rm -rf 1.evil.php #删除文件

4. 隐藏历史操作命令
    • 隐藏:
      • 1.只针对你的工作关闭历史记录
        [space]set +o history
        备注:[space]表示空格。并且由于空格的缘故,该命令本身也不会被记录。
        上面的命令会临时禁用历史功能,这意味着在这命令之后你执行的所有操作都不会记录到历史中,然而这个命令之前的所有东西都会原样记录在历史列表中。
      • 2.从历史记录中删除指定的命令
        history | grep “keyword“,上述命令执行后,会输出历史记录中匹配的命令,每一条前面会有个数字。从历史记录中删除那个指定的项:history -d [num]
      • 只保留前150行:sed -i '150,$d' .bash_history
    • 破除隐藏:
      • 提前备份.bash_history文件
    • 重新开启历史功能,执行下面的命令:
      [Space]set -o history
      它将环境恢复原状,也就是你完成了你的工作,执行上述命令之后的命令都会出现在历史中。
5. 隐藏远程SSH登陆记录
    • 隐身登录系统,不会被wwholast等指令检测到。
      ssh -T root@127.0.0.1 /bin/bash –i
    • 不记录ssh公钥在本地.ssh目录中
      ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash –i
6. 端口复用
    • 利用IPTables进行端口复用
# 端口复用链
iptables -t nat -N LETMEIN
# 端口复用规则
iptables -t nat -A LETMEIN -p tcp -j REDIRECT --to-port 22
# 开启开关
iptables -A INPUT -p tcp -m string --string 'threathuntercoming' --algo bm -m recent --set -name letmein --rsource -j ACCEPT
# 关闭开关
iptables -A INPUT -p tcp -m string --string 'threathunterleaving' --algo bm -m recent --name letmein --remove -j ACCEPT
# let's do it
iptables -t nat -A PREROUTING -p tcp --dport 80 --syn -m recent --rcheck --seconds 3600 -name letmein --rsource -j LETMEIN

    • 检测:Netstat查看监听端口
7. 进程隐藏
    • 说明:管理员无法通过相关命令工具查找到你运行的进程,从而达到隐藏目的,实现进程隐藏。
      利用办法:进程注入工具linux-inject
      github项目地址: https://github.com/gaffe23/linux-inject.git
# 下载程序编译
git clone <https://github.com/gaffe23/linux-inject.git>
cd linux-inject && make
# 测试进程
./sample-target
# 进程注入
./inject -n sample-target sample-library.so

    • 破除隐藏:
      unhide是一个小巧的网络取证工具,能够发现那些借助rootkitLKM及其它技术隐藏的进程和TCP / UDP端口。这个工具在LinuxUNIX类,MS-Windows等操作系统下都可以工作。
      下载地址:Unhide homepage - Welcome
# 安装
sudo yum install unhide
# 使用
unhide [options] test_list


使用unhide proc发现隐藏进程evil_script.py

Windows权限维持破除隐藏以及后门清除

后门


攻击者在获取服务器权限后,通常会用一些后门来维持权限。如果想让后门保持得更久些,就需要隐藏好它,使之不易被管理员发现。
常见的后门维持方式包括:

  • 利用文件属性
  • 利用ADS隐藏文件内容
  • 驱动级文件隐藏
  • 隐藏账号
  • 端口复用
  • 进程注入
利用文件属性

隐藏

最简单的一种隐藏文件的方式是,右键点击文件,选择属性,勾选“隐藏”选项,然后点击确定。这样文件就被隐藏了。

破除隐藏

点击查看,勾选显示隐藏的文件,文件就会显示出来。

高级隐藏

使用Attrib +s +a +h +r命令是把原本的文件夹增加了系统文件属性、存档文件属性、只读文件属性和隐藏文件属性。

attrib +s +a +h +r D:\\test\\project\\test.txt
破除高级破除隐藏

打开电脑文件夹选项卡,取消”隐藏受保护的操作系统文件“勾选,把”隐藏文件和文件夹“下面的单选选择“显示隐藏的文件、文件夹和驱动器”。

利用ADS隐藏文件内容

隐藏

在服务器上echo一个数据流文件进去,比如index.php是网页正常文件,我们可以这样搞:

echo ^<?php @eval($_POST['chopper']);?^> > index.php:hidden.jpg

这样子就生成了一个不可见的shell hidden.jpg,常规的文件管理器、type命令,dir命令、del命令发现都找不出那个hidden.jpg。

查看
dir /r
破除隐藏

删除index.php:hidden.jpg即可。

驱动级文件隐藏
隐藏

驱动隐藏可以用一些软件来实现,软件名字叫:Easy File Locker。

破除隐藏

确认是否隐藏。如果网站目录未查找到相关文件,且系统目录存在以下文件:

  • c:\WINDOWS\xlkfs.dat
  • c:\WINDOWS\xlkfs.dll
  • c:\WINDOWS\xlkfs.ini
  • c:\WINDOWS\system32\drivers\xlkfs.sys

那么应该是遭遇了驱动级文件隐藏。

实施清除

1.查询服务状态:

sc qc xlkfs

1.停止服务:

net stop xlkfs

服务停止后,经驱动级隐藏的文件即可显现。

1.删除服务:

sc delete xlkfs

1.删除系统目录下面的文件,重启系统,确认服务已经被清理了。

隐藏账号

隐藏

可以使用CMD命令行下建立一个用户名为“test$”,密码为“abc123!”的简单隐藏账户,并且把该隐藏账户提升为管理员权限。

破除隐藏

使用D盾_web查杀工具,使用克隆账号检测功能进行查看,可检测出隐藏、克隆账号。

端口复用
隐藏

可以使用WinRM服务或者其他的工具实现端口复用。

破除隐藏

复用时会在安全日志中留下痕迹。

进程注入
隐藏

进程注入是病毒木马的惯用手段,同时,它也是一种隐藏技术。

破除隐藏
  1. 通过TCPview显示已建立的TCP连接,我们可以看到异常的连接,同时,恶意软件将以绿色显示不到一秒钟,然后变成红色消失,如此循环。
  2. 利用process monitor捕捉通信过程,有规律的请求取决于sleep设置的间隔。
  3. 利用process monitor或者火绒剑监控进程都可以定位到注入进程。
命令

如果需要在Windows命令行窗口中执行以下命令,可以把命令放在三个反引号之间的代码块中,或者使用“```cmd”标记。比如:

echo hello
注意事项

隐藏文件的方式还有很多,比如伪装成一个系统文件夹图标,利用畸形文件名、保留文件名无法删除,甚至取一个与系统文件很像的文件名并放在正常目录里面,很难辨别出来。这些隐藏文件的方式早已不再是秘密,而更多的恶意程序开始实现“无文件”攻击,这种方式极难被发现。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/236338.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

北斗高精度基坑安全监测系统解决方案

目录 1.概述 1.1背景 1.2设计原则 1.3建设内容 2.系统架构 2.1总体架构 2.2拓扑图 2.3云平台 2.3.1概述 2.3.2技术架构 2.3.3平台功能 2.4监测子系统 2.4.1位移监测子系统 2.4.2应力监测子系统 2.4.3环境监测子系统 1.概述 1.1背景 基坑监测是基坑工程施工中的…

一个前端大佬的十年回顾 | 漫画前端的前世今生

作者&#xff1a;京东科技 胡骏 引言 岁月如梭&#xff0c;十载流年 前端技术&#xff0c;蓬勃向前 HTML&#xff0c;CSS&#xff0c;JavaScript 演绎出璀璨夺目的技术画卷 回到十年前&#xff0c;前端技术就像一名戴着厚重眼镜的书呆子&#xff0c;总是小心翼翼&#xff…

prometheus 服务不可用

现象: grafana查看面板无数据&#xff0c; prometheus容器一直重启 prometheus日志报错: callerhead.go:685 levelinfo componenttsdb msg"WAL segment loaded" segment448 maxSegment448 解决&#xff1a; docker stop prometheus rm -rf wal/ docker st…

车载蓝牙物联网解决方案

车载蓝牙物联网解决方案是一种基于蓝牙技术&#xff0c;结合物联网技术的智能车载系统。它利用蓝牙技术将智能手机、智能手表、智能车载设备等连接起来&#xff0c;实现设备之间的无缝通信和数据共享&#xff0c;为驾驶者提供更加便捷、安全和智能的驾驶体验。 车载蓝牙物联网解…

浅谈Java 虚拟机(1)

1 Java技术与Java虚拟机 说起Java&#xff0c;人们首先想到的是Java编程语言&#xff0c;然而事实上&#xff0c;Java是一种技术&#xff0c;它由四方面组成: Java编程语言、Java类文件格式、Java虚拟机和Java应用程序接口(Java API)。 Java四个方面的关系 运行期环境代…

react hooks浅谈

一.useEffect useEffect是hooks中的生命周期函数 1.只要页面更新就触发回调&#xff1a; useEffect(() > { // 执行逻辑 }) 2.只运行一次&#xff08;组件挂载和卸载时执行&#xff09;&#xff0c;第二个参数传空数组[]&#xff1a; useEffect(() > { // },[]) 3. 条件…

Flask重定向后无效果前端无跳转无反应问题

在网上搜了一下并没有什么好的解决方案&#xff0c;有的话也只是告诉你如何修改代码&#xff0c;并没有讲明白其中的原理以及导致问题的核心&#xff0c;因此特意去了解了一下HTTP的规范找到了答案 问题说明 问题出现的流程大致都是前端发送Ajax请求给后端&#xff0c;进行一些…

【愚公系列】2023年12月 HarmonyOS教学课程 037-ArkUI事件(焦点事件)

&#x1f3c6; 作者简介&#xff0c;愚公搬代码 &#x1f3c6;《头衔》&#xff1a;华为云特约编辑&#xff0c;华为云云享专家&#xff0c;华为开发者专家&#xff0c;华为产品云测专家&#xff0c;CSDN博客专家&#xff0c;CSDN商业化专家&#xff0c;阿里云专家博主&#xf…

测试理论知识三:测试用例、测试策略

1.测试用例 完全的测试是不可能的&#xff0c;对任何程序的测试必定是不完全的&#xff0c;那么&#xff0c;最显然的测试策略就是努力使测试尽可能完全。 进行测试前&#xff0c;推荐先使用黑盒测试的方法设计测试用例&#xff0c;然后使用白盒测试方法来补充的测试用例。 2…

2023“楚怡杯”湖南省赛“信息安全管理与评估“--内存取证(高职组)

2023“楚怡杯”湖南省“信息安全管理与评估”(高职组)任务书 2023“楚怡杯”湖南省“信息安全管理与评估”(高职组)任务书第一阶段竞赛项目试题第二阶段竞赛项目试题第三部分 内存取证:需要环境私聊博主:2023“楚怡杯”湖南省“信息安全管理与评估”(高职组)任务书 第…

Flink电商实时数仓(三)

DIM层代码流程图 维度层的重点和难点在于实时电商数仓需要的维度信息一般是动态的变化的&#xff0c;并且由于实时数仓一般需要一直运行&#xff0c;无法使用常规的配置文件重启加载方式来修改需要读取的ODS层数据&#xff0c;因此需要通过Flink-cdc实时监控MySql中的维度数据…

相互独立的Gamma分布变量之和的分布

两个变量之和的情况 设随机变量相互独立&#xff0c;并且服从参数为的分布&#xff0c;记作&#xff1b;服从参数为的分布&#xff0c;记作&#xff0c;和的概率密度分别为&#xff1a; 其中 其中 那么随机变量服从参数为的分布&#xff0c;记作。 推广到n个变量之和的情况 …

余弦距离和余弦相似度的区别

余弦相似度&#xff0c;就是计算两个向量间的夹角的余弦值&#xff1a;cosθ &#xff0c;取值范围 [-1,1] 。值越大&#xff0c;相似度越高 余弦距离就是用1减去这个获得的余弦相似度&#xff1a;1-cosθ &#xff0c;取值范围 [0,2] 。值越大&#xff0c;距离越远。 余弦距离…

为什么销售的强刺激政策不管用?

销售人员是联系企业生产与市场的纽带&#xff0c;是一个企业经济效益的直接创造者&#xff0c;他们对企业的贡献举足轻重&#xff0c;对销售人员的激励是否有效关系到整个企业的营销体系稳定与业绩提升。 因此&#xff0c;激励销售人员成为所有老总共同的愿望&#xff0c;甚至…

云原生消息流系统 Apache Pulsar 在腾讯云的大规模生产实践

导语 由 InfoQ 主办的 Qcon 全球软件开发者大会北京站上周已精彩落幕&#xff0c;腾讯云中间件团队的冉小龙参与了《云原生机构设计与音视频技术应用》专题&#xff0c;带来了以《云原生消息流系统 Apache Pulsar 在腾讯云的大规模生产实践》为主题的精彩演讲&#xff0c;在本…

进阶之路:高级Spring整合技术解析

Spring整合 1.1 Spring整合Mybatis思路分析1.1.1 环境准备步骤1:准备数据库表步骤2:创建项目导入jar包步骤3:根据表创建模型类步骤4:创建Dao接口步骤5:创建Service接口和实现类步骤6:添加jdbc.properties文件步骤7:添加Mybatis核心配置文件步骤8:编写应用程序步骤9:运行程序 1.…

挑选知识付费平台不再迷茫:掌握这些技巧,轻松找到适合自己的平台!

明理信息科技知识付费平台 在当今的知识付费市场中&#xff0c;用户面临的选择越来越多&#xff0c;如何从众多知识付费平台中正确选择属于自己的平台呢&#xff1f;下面&#xff0c;我们将为您介绍明理信息科技知识付费平台相比同行的优势&#xff0c;帮助您做出明智的选择。…

Dubbo面试题及答案,持续更新

在准备Dubbo相关的面试题时&#xff0c;我发现网络上的资源往往缺乏深度和全面性。为了帮助广大Java程序员更好地准备面试&#xff0c;我花费了大量时间进行研究和整理&#xff0c;形成了这套Dubbo面试题大全。 这套题库不仅包含了一系列经典的Dubbo面试题及其详尽答案&#x…

雅思考试笔试还是机试,哪个更好,为什么?

想要参加或者即将参加雅思考试的同学们&#xff0c;你们知道雅思笔试和机试的有哪些相似点和不同点吗&#xff1f;下面由E趣少儿英语&#xff08;LUEnglish&#xff09;为您具体分析。 雅思纸笔考试与雅思机考&#xff1a;两者之间的相似之处 两个版本的雅思考试&#xff08;…

concat_ws()和college_list()配合=>实现多行转一行

concat_ws()&#xff1a; concat_ws()是“with separator”的缩写&#xff0c;它是一个用于连接字符串的函数。ws代表“with separator”&#xff0c;即带有分隔符。这个函数的作用是将多个字符串连接起来&#xff0c;并在它们之间插入指定的分隔符。语法&#xff1a;concat_ws…