应急响应?流量分析?你会吗?

应急响应

基本思路:

收集信息:收集客户信息和中毒主机信息,包括样本判断类型:判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DoS 等等抑制范围:隔离使受害⾯不继续扩⼤深入分析:日志分析、进程分析、启动项分析、样本分析方便后期溯源清理处置:杀掉进程,删除文件,打补丁,删除异常系统服务,清除后门账号防止         事件扩大,处理完毕后恢复生产产出报告:整理并输出完整的安全事件报告

1、Windows应急响应

1.1系统账户:弱口令、22/3389 等端口是否对外查看账号的方法:net user(无法列出$用户)lusrmgr.exe(无法找到注册表方式建立的用户)查看注册表(最准)HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\D盾有查看账户的功能
1.2进程、端口相关查看开放的端口:netstat -ano重点看状态是 ESTABLISHED 的端口:netstat -ano | findstr 'estab'查看路由:netstat -rn查看系统信息:msinfo32,依次点击 软件环境→正在运行任务,可以看到当前的进程查找 PID 对应的进程:tasklist | findstr PID
杀死进程:taskkill /f /pid 123 /ttaskkill /f /im explorer.exe /t
查看进程对应的文件:依次输入 wmic-- process显示 进程--PID--服务:tasklist /svc
查看 Windows 服务所对应的端口:%system%/system32/drivers/etc/services(一般 %system% 就是 C:\Windows )
防火墙配置:netsh firewall show all
1.3 计划任务、可疑进程服务相关查看服务:services.msc系统信息查看系统信息及补丁:systeminfo可疑文件和目录最近打开的文件:%UserProfile%\Recent排查的几个点:回收站、浏览器下载记录、浏览器历史记录时间排序,查看最新的文件修改时间在创建时间之前的文件查看日志:eventvwr.msc
1.4  日志分析系统日志(System.evtx):驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等 应用程序日志(Application.evtx):记录程序运行方面的事件 安全日志(Security.evtx):登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应修改配置策略,默认的话只会记录一些简单的,可以按照下面这个改配置修改方法:开始 → 管理工具 → 本地安全策略 → 本地策略 → 审核策略
1.5  快捷常用命令查看域中当前的主机列表:net view /domain 查看当前域中的用户 net user /domain 增加一个本地用户 net user username password /add 将新增的用户加到本地管理员组 net localgroup "Administrators" username /add   查看域中的密码策略 net accounts /domain 查看本地组 net localgroup "Group" 查看域中的组信息 net group /domain 查看域中指定组的成员 net group "Domain group" /domain 查看当前机器所在的域名 net config workstation 查看当前服务器所在的域名 net config server显示系统信息 systeminfo 查看远程主机的系统信息 systeminfo /S ip /U domain\user /P Pwd 显示进程和服务信息 tasklist /svc 显示所有进程以及DLL信息 tasklist /m 显示进程和所有者 tasklist /v 查看远程主机的进程列表 tasklist /S ip /v 显示具体的服务信息(包括二进制路径和运行使用) sc qc Spooler

2、Linux应急响应

cat /etc/passwd# 查看用户信息文件
cat /etc/shadow# 查看影子文件
awk -F: '$3==0{print $1}' /etc/passwdcat /etc/passwd | grep x:0# 查看系统是否还存在其他的特权账户,uid为0,默认系统只存在root一个特权账户
who#查看当前登录用户,以及其登录ip。pts代表远程登录,tty代表本地登陆。
uptime#查看现在的时间、系统开机时长、目前多少用户登录,系统在过去的1分钟、5分钟  和15分钟内的平均负载。
stat /etc/passwd#查看密码文件上一次修改的时间,如果最近被修改过,那就可能存在问题。
cat /etc/passwd | grep -v nologin#查看除了不可登录以外的用户都有哪些,有没有新增的
cat /etc/passwd | grep /bin/bash#查看能用bash shell登录的用户。
history#查看历史命令
cat .bash_history >>history.txt#保存历史命令
netstat -pantu#查看端口开放和连接情况
ps -aux#查看进程
 ps -aux | grep pid#查看关联进程
ps aux --sort=pcpu | head -10#查看cpu占用率前十的进程systemctl list-unit-files | grep enabled#查看开机启动项
Crontab -l#查看定时任务
top#进程动态监控
ps -ef#静态监控
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more#统计爆破主机root账号的失败次数及ip:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'查看成功登录的日期、用户名、IP:
stat /bin/netstat  查看命名修改时间,防止被替换

3、说说钓鱼邮件处置实际操作

屏蔽办公区域对钓鱼邮件内容涉及站点、URL 访问根据办公环境实际情况可以在上网行为管理、路由器、交换机上进行屏蔽邮件内容涉及域名、IP 均都应该进行屏蔽对访问钓鱼网站的内网 IP 进行记录,以便后续排查溯源可能的后果屏蔽钓鱼邮件屏蔽钓鱼邮件来源邮箱域名屏蔽钓鱼邮件来源 IP有条件的可以根据邮件内容进行屏蔽删除还在邮件服务器未被客户端收取钓鱼邮件处理接收到钓鱼邮件的用户根据钓鱼邮件发件人进行日志回溯此处除了需要排查有多少人接收到钓鱼邮件之外,还需要排查是否公司通讯录泄露。采用 TOP500 姓氏撞库发送钓鱼邮件的攻击方式相对后续防护较为简单。如果发现是使用公司通讯录顺序则需要根据通讯录的离职情况及新加入员工排查通讯录泄露时间。毕竟有针对性的社工库攻击威力要比 TOP100、TOP500 大很多通知已接收钓鱼邮件的用户进行处理删除钓鱼邮件系统改密全盘扫毒后续:溯源、员工培训提升安全意识

流量分析

1、如何区分菜刀、蚁剑、冰蝎、哥斯拉WENSHELL特征?(经典问题)​​​​​​​

菜刀:1、webshell 为一句话木马2、ua 头为百度爬虫3、请求体中存在 eavl,base644、响应为明文,格式为 X@Y +内容 + X@Y蚁剑:1、webshell 同样有 eavl,base642、ua 头为蚁剑工具3、请求体中存在 @ini_set4、响应为明文,格式为 随机数+结果 +随机数冰蝎:1、webshell 同样有 eavl,base642、webshell 中有 md5(密码)前16位3、2.0 有一次GET请求返回16位的密钥哥斯拉:1、webshell 同样有 eavl,base642、请求为pass=

2、流量检测的设备你了解吗?

科来,建议大家去下载玩一玩。(这个用的比较多)

3、根据设备告警(WEB)如何分析流量?

1. 下载告警pcap数据包,根据告警提示攻击类型,过滤payload信息,定位流量2. 判断是否攻击成功,需具体分析攻击请求响应内容或使其payload进行攻击测试等3. 最终可根据流量分析给出判定类型:扫描、攻击尝试、攻击成功、攻击失

4、如何确认是否误报?

分析请求、响应内容,判断是否攻击成功首先看告警事件名称判断是网络攻击事件还是web攻击事件,网络攻击事件:定位五元组信息(源IP、目的IP、源端口、目的端口、协议),对整个僵、木、蠕传播链进行分析,以攻击IP作为受害IP进行检索查找攻击源。WEB攻击事件:通过数据包的请求体、响应体、状态码等

5、说下服务器被上传webshell处置思路是什么?(常问)

及时隔离主机使用find命令查找定位webshell,对webshell进行取样结合web日志分析清除webshell及残留文件

补充:

清除webshell及残留文件
Java内存马如何排查?
php内存马如何排查?
aspx内存马如何排查?

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/762878.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

建立一个高效协作的团队从《团队章程》开始

《团队章程》 项目资源分为团队资源(人力)和实物资源。而项目资源管理的目的拿今天最流行的说法就是降本增效,那么建立一个高效协作的团队从《团队章程》开始,以某供应链团队的团队章程(简化)举例&#xf…

puppeteer使用示例云顶之弈官网

自己从0到1开发的,微信小程序【云顶宝藏】求求点个5星好评吧! 需求:拿到所有英雄的信息 思路:点击每个英雄,进入英雄详情页,拿信息,并返回,继续下一个英雄** 最终效果 本地环境 win…

如何搭建DolphinScheduler服务并结合内网穿透公网远程任务调度

文章目录 前言1. 安装部署DolphinScheduler1.1 启动服务 2. 登录DolphinScheduler界面3. 安装内网穿透工具4. 配置Dolphin Scheduler公网地址5. 固定DolphinScheduler公网地址 前言 本篇教程和大家分享一下DolphinScheduler的安装部署及如何实现公网远程访问,结合内…

由vue2版本升级vue3版本遇到的问题

一、vuedraggable 由vue2版本升级vue3版本后,可能会遇到以下几种bug: 1、vue3+vuedraggable报错TypeError: Cannot read properties of undefined (reading ‘updated’):这个一般是因为插件使用语法有问题,vue3版本的插件使用时,v-for不能 自己手写,由插件提供的语法实…

与AI机器共存的三个层次

概述 当前我们无法不与AI机器共存。 或者说,在不远的近日,不能与AI机器和谐共处的人,就有可能会被淘汰。 新的生产革命,或许已经到来,只是我们身在此山中,当局者迷而已。 三个层次 API(Application Pr…

C语言学习 四、选择与循环

4.1关系表达式与逻辑表达式 算术运算符的优先级高于关系运算符关系运算符的优先级高于逻辑与 和 逻辑或运算符相同优先级的运算符从左到右进行结合 【例】 表达式 5 > 3 && 8 < 4 - !0 的最终值为多少 4.2 if-else语句 4.2.1 if-else单分支语句 if判断条件&am…

力扣日记3.21【贪心算法篇】45. 跳跃游戏 II

力扣日记&#xff1a;【贪心算法篇】45. 跳跃游戏 II 日期&#xff1a;2024.3.21 参考&#xff1a;代码随想录、力扣 45. 跳跃游戏 II 题目描述 难度&#xff1a;中等 给定一个长度为 n 的 0 索引整数数组 nums。初始位置为 nums[0]。 每个元素 nums[i] 表示从索引 i 向前跳转…

C语言例:设 int x; 则表达式 (x=4*5,x*5),x+25 的值

代码如下&#xff1a; #include<stdio.h> int main(void) {int x,m;m ((x4*5,x*5),x25);printf("(x4*5,x*5),x25 %d\n",m);//x4*520//x*5100//x2545return 0; } 结果如下&#xff1a;

网络仿真3-NS2协议修改和移植

Ns2实现原理 OTcl与C关联 执行路径&#xff1a;Tcl->Otcl->C 返回路径&#xff1a;C->Otcl->Tcl NS2协议修改和移植 NS2中的各种网络协议在底层通过C实现&#xff0c;在网络仿真过程中最终通过调用底层C代码实现网络行为、算法、功能等各种仿真 NS2协议修改&…

牛客NC403 编辑距离为一【中等 模拟法 Java,Go,PHP】

题目 题目链接&#xff1a; https://www.nowcoder.com/practice/0b4b22ae020247ba8ac086674f1bd2bc 思路 注意&#xff1a;必须要新增一个&#xff0c;或者删除一个&#xff0c;或者替换一个&#xff0c;所以不能相等1.如果s和t相等&#xff0c;返回false,如果s和t长度差大于1…

AOP+MySQL实现一个简历的日志收集工具

一、自定义日志注解 import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target;/*** Description 日志监控自定义注解*/ Target({ElementType.METHOD, ElementTyp…

【数据库系统】SQL和T-SQL

第四章 SQL 基本内容 系统结构、DDL、DML、视图、数据控制、嵌入式SQL SQL介绍 特点 一体化&#xff1b;面向集合操作&#xff1b;非过程化语言&#xff1b;可以单独写&#xff0c;也可以作为嵌入式语言&#xff08;JDBC&#xff09; 体系结构 数据库存储结构 逻辑存储结构 面…

AES对称和RSA非对称加密登录接口参数

使用RSA非对称加密AES对称加密 加密类型&#xff1a; RSA&#xff1a;是一种非对称加密算法。它使用一对密钥&#xff08;公钥和私钥&#xff09;&#xff0c;其中公钥可以公开给任何人&#xff0c;用于加密数据&#xff1b;而私钥需要保密&#xff0c;用于解密数据。AES&#…

小程序 转发 功能

mina/pages/food/info.wxml <import src"../../wxParse/wxParse.wxml" /> <view class"container"> <!--商品轮播图--> <view class"swiper-container"><swiper class"swiper_box" autoplay"{{autop…

在vscode中使用git-新手向

Git 应该是必学的版本同步工具&#xff0c;是代码管理的好帮手。 可是对新手来说上手还是有一丢丢门槛&#xff0c;结合 vscode 同步非常方便。 可实现可视化代码变化&#xff0c;提醒自己记录版本修改内容。非常好用。 在 VSCode 中将项目上传至 GitHub 私有仓库基本步骤 确保…

基于ssm电子竞技管理平台的设计与实现论文

摘 要 现代经济快节奏发展以及不断完善升级的信息化技术&#xff0c;让传统数据信息的管理升级为软件存储&#xff0c;归纳&#xff0c;集中处理数据信息的管理方式。本电子竞技管理平台就是在这样的大环境下诞生&#xff0c;其可以帮助管理者在短时间内处理完毕庞大的数据信息…

2024上半年软考报名时间及费用汇总!最新!

2024上半年软考考试时间为5月25-28日&#xff0c;2024年上半年软考全国报名平台入口3月18日开通&#xff0c;由此可知各地报名时间将会从3月份陆续开始。各地报名时间不同&#xff0c;且部分地区报名持续时间很短&#xff0c;请大家尽早报名&#xff0c;以免错过。 2024上半年…

java:基于BeanDeserializer实现自定义的Java bean 解析器

JsonDeserializer 关于jackson实现自定义的对象解析器&#xff0c;最常用的方式就是继承顶级抽象类(com.fasterxml.jackson.databind.JsonDeserializer) 来实现,比如下面的代码实现 // 自定义的JavaBean class Person {private String name;private int age;// 标准的getter和…

Prometheus(四):VMware Vsphere监控及数据展示

目录 1 vmware exporter安装配置1.1 vmware exporter介绍1.2 安装 - 使用kubernetes部署1、下载2、修改配置文件3、执行安装4、查看 1.3 安装-使用docker的方式1.4 Prometheus配置1.5 Grafana配置&#xff08;模板页面还需要修改&#xff09; 总结 1 vmware exporter安装配置 …

基于docker commit和Dockerfile为镜像添加ssh服务

系统管理员可以通过SSH服务来远程登录管理服务器 本文介绍基于docker commit和Dockerfile为镜像添加ssh服务 docker commit 该命令支持用户对容器自定义 1.获取镜像ubuntu&#xff1a;18.04&#xff0c;并创建一个容器 [rootnode2 db]docker pull ubuntu:18.04 [rootnode2 …