xfeng

xfeng

Sporting | Reading | Technology | Recording
github
bilibili
首頁作品集封存關於

應急響應

#应急响应100
AI 翻譯
這篇文章透過AI由簡體中文翻譯成繁體中文查看原文
AI 生成的摘要
这篇文章介绍了应急响应中的一些步骤和工具,包括Windows和Linux系统的应急响应。在Windows系统中,可以通过检查文件分析、账号安全、端口进程等方式来排查攻击路径。在Linux系统中,可以通过文件分析、账号安全、端口进程、历史命令、环境变量等方式来进行排查。同时还介绍了一些常用的工具和命令。

1. Windows 應急響應#

1.1 檔案分析#

1.1.1 開機啟動項#

檢查 Windows 的啟動選單

C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

image

1.1.2 tmp 臨時檔案#

在執行視窗中,輸入 %tmp%,直接開啟臨時檔案夾

查看該資料夾下是否有可疑檔案(exe、dll、sys)

image

1.1.3 瀏覽器歷史記錄#

使用工具

1.1.4 檔案屬性#

檢查檔案的建立時間、修改時間、存取時間(預設情況下禁用)預設情況下,電腦是以修改時間作為展示

1.1.5 最近開啟的檔案#

在執行視窗中,輸入 %UserProfile%\Recent,直接開啟最近使用的檔案

image

1.2 帳號安全#

1.2.1 可疑帳號,新增帳號#

打開 cmd 視窗,輸入 lusrmgr.msc 命令,查看是否有新增 / 可疑的帳號,如有管理員群組的(Administrators)裡的新增帳戶,如有,請立即禁用或刪除掉

1.2.2 隱藏帳號,克隆帳號#

  • 打開註冊表 ,查看管理員對應鍵值
  • 使用 D 盾_web 查殺工具,集成了對克隆帳號檢測的功能

1.2.3 登入記錄#

Win+R 打開執行,輸入 “eventvwr.msc”,回車運行,打開 “事件檢視器”

image

  • 4624:帳戶成功登入
  • 4648:使用明文憑證嘗試登入
  • 4778:重新連接到一台 Windows 主機的會話
  • 4779:斷開到一台 Windows 主機的會話

image

1.3 端口進程#

1.3.1 端口#

檢查端口連接情況,是否有遠程連接、可疑連接

  • netstat -ano 查看目前的網路連接,定位可疑的 ESTABLISHED
  • 根據 netstat 定位出的 pid,再通過 tasklist 命令進行進程定位

1.3.2 進程#

通過微軟官方提供的 Process Explorer 等工具進行排查

1.3.3 計劃任務#

image

image

1.4 webshell 查殺#

常見工具:D 盾

2. Linux 應急響應#

2.1 檔案分析#

/tmp 是一個特別的臨時目錄檔案,每個使用者都可以對它進行讀寫操作

2.2 帳號安全#

用戶資訊檔案 /etc/passwd

  • root:0:0:root:/root:/bin/bash
    account:password:UID:GID:GECOS:directory

  • 用戶名:密碼:用戶 ID:組 ID:用戶說明:家目錄:登陸之後 shell
    注意:無密碼只允許本機登陸,遠程不允許登陸

影子檔案 /etc/shadow

  • root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqw
    NVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::

  • 用戶名:加密密碼:密碼最後一次修改日期:兩次密碼的修改時間間隔:
    密碼有效期:密碼修改到期到的警告天數:密碼過期之後的寬限天數:賬
    號失效時間:保留

幾個常用命令

who 查看當前登錄用戶(tty本地登陸pts遠程登錄)
w 查看系統信息,想知道某一時刻用戶的行為
uptime 查看登陸多久、多少用戶,負載

入侵排查

  • 查詢特權用戶 (uid 為 0)

    awk -F: '$3==0{print $1}' /etc/passwd

  • 查詢可以遠程登錄的帳號信息

    awk '/$1|$6/{print $1}' /etc/shadow

  • 除 root 帳號外,其他帳號是否存在 sudo 權限。如非管理需要,普
    通帳號應刪除 sudo 權限

    more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)"

  • 禁用或刪除多餘及可疑的帳號

    usermod -L user 禁用帳號,帳號無法登錄,/etc/shadow 第二欄為 ! 開頭
userdel user 刪除user用戶
userdel -r user 將刪除user用戶,並且將/home目錄下的user目錄一併刪除

2.3 端口進程#

1、使用 netstat 網絡連接命令,分析可疑端口、IP、PID

netstat - antlp | more

2、查看下 pid 所對應的進程文件路徑

運行 ls -l /proc/$PID/exe 或 file /proc/$PID/exe( $PID為對應的pid號 )

3、使用 ps 命令,分析進程

p s aux | grep  pid

2.4 歷史命令#

在 Linux 系統中默認會記錄之前執行的命令 /root/bash history 文件中。

用戶可以使用 cat /root/.bash_history 進行查看或者使用 history 命令進行查看

2.5 環境變量#

環境變量決定了 shell 將到哪些目錄中尋找命令或程式,PATH 的值是一系列目錄

image

2.6 後門排查#

工具 - rkhunter

載入中......
此文章數據所有權由區塊鏈加密技術和智能合約保障僅歸創作者所有。