xfeng

xfeng

Sporting | Reading | Technology | Recording
github
bilibili
主页作品集归档关于

应急响应

#应急响应100
AI 生成的摘要
这篇文章介绍了应急响应中的一些步骤和工具,包括Windows和Linux系统的文件分析、账号安全、端口进程、历史命令和环境变量等方面的内容。文章还提到了一些常用的工具和命令,如D盾、netstat、tasklist、Process Explorer、who、w、uptime等。此外,文章还提到了一些入侵排查和后门排查的方法。

1. Windows 应急响应#

1.1 文件分析#

1.1.1 开机启动项#

检查 Windows 的启动菜单

C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

image

1.1.2 tmp 临时文件#

在运行窗口中,输入 %tmp%,直接打开临时文件夹

查看该文件夹下是否有可疑文件(exe、dll、sys)

image

1.1.3 浏览器历史记录#

使用工具

1.1.4 文件属性#

检查文件的创建时间、修改时间、访问时间(默认情况下禁用)默认情况下,计算机是以修改时间作为展示

1.1.5 最近打开的文件#

在运行窗口中,输入 %UserProfile%\Recent,直接打开最近使用的文件

image

1.2 账号安全#

1.2.1 可疑账号,新增账号#

打开 cmd 窗口,输入 lusrmgr.msc 命令,查看是否有新增 / 可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉

1.2.2 隐藏账号,克隆账号#

  • 打开注册表 ,查看管理员对应键值
  • 使用 D 盾_web 查杀工具,集成了对克隆账号检测的功能

1.2.3 登录日志#

Win+R 打开运行,输入 “eventvwr.msc”,回车运行,打开 “事件查看器”

image

  • 4624:账户成功登录
  • 4648:使用明文凭证尝试登录
  • 4778:重新连接到一台 Windows 主机的会话
  • 4779:断开到一台 Windows 主机的会话

image

1.3 端口进程#

1.3.1 端口#

检查端口连接情况,是否有远程连接、可疑连接

  • netstat -ano 查看目前的网络连接,定位可疑的 ESTABLISHED
  • 根据 netstat 定位出的 pid,再通过 tasklist 命令进行进程定位

1.3.2 进程#

通过微软官方提供的 Process Explorer 等工具进行排查

1.3.3 计划任务#

image

image

1.4 webshell 查杀#

常见工具:D 盾

2. Linux 应急响应#

2.1 文件分析#

/tmp 是一个特别的临时目录文件,每个用户都可以对它进行读写操作

2.2 账号安全#

用 户 信 息 文 件 /etc/passwd

  • root:0:0:root:/root:/bin/bash
    account:password:UID:GID:GECOS:directory

  • 用 户 名 : 密 码 : 用 户 ID: 组 ID: 用 户 说 明 : 家 目 录 : 登 陆 之 后 shell
    注 意 : 无 密 码 只 允 许 本 机 登 陆 , 远 程 不 允 许 登 陆

影 子 文 件 /etc/shadow

  • root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqw
    NVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::

  • 用 户 名 : 加 密 密 码 : 密 码 最 后 一 次 修 改 日 期 : 两 次 密 码 的 修 改 时 间 间 隔 :
    密 码 有 效 期 : 密 码 修 改 到 期 到 的 警 告 天 数 : 密 码 过 期 之 后 的 宽 限 天 数 : 账
    号 失 效 时 间 : 保 留

几个常用命令

who 查 看 当 前 登 录 用 户 ( tty 本 地 登 陆 pts 远 程 登 录 )
w 查 看 系 统 信 息 , 想 知 道 某 一 时 刻 用 户 的 行 为
uptime 查 看 登 陆 多 久 、 多 少 用 户 , 负 载

入侵排查

  • 查 询 特 权 用 户 (uid 为 0)

    awk -F: '$3==0{print $1}' /etc/passwd

  • 查 询 可 以 远 程 登 录 的 帐 号 信 息

    awk '/$1|$6/{print $1}' /etc/shadow

  • 除 root 帐 号 外 , 其 他 帐 号 是 否 存 在 sudo 权 限 。 如 非 管 理 需 要 , 普
    通 帐 号 应 删 除 sudo 权 限

    more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)"

  • 禁 用 或 删 除 多 余 及 可 疑 的 帐 号

    usermod -L user 禁 用 帐 号 , 帐 号 无 法 登 录 , /etc/shadow 第 二 栏为 ! 开 头
userdel user 删 除 user 用 户
userdel -r user 将 删 除 user 用 户 , 并 且 将 /home 目 录 下 的 user目 录 一 并 删 除

2.3 端口进程#

1、使 用 netstat 网 络 连 接 命 令 , 分 析 可 疑 端 口 、 IP、 PID

netstat - antlp | more

2、查 看 下 pid 所 对 应 的 进 程 文 件 路 径

运 行 ls -l /proc/$PID/exe 或 file /proc/$PID/exe( $PID为 对 应 的 pid 号 )

3、使 用 ps 命 令 , 分 析 进 程

p s aux | grep  pid

2.4 历史命令#

在 Linux 系统中默认会记录之前执行的命令 /root/bash history 文件中。

用户可以使用 cat /root/.bash_history 进行查看或者使用 history 命令进行查看

2.5 环境变量#

环境变量决定了 shell 将到哪些目录中寻找命令或程序,PATH 的值是一系列目录

image

2.6 后门排查#

工具 - rkhunter

加载中...
此文章数据所有权由区块链加密技术和智能合约保障仅归创作者所有。