应急响应

作为一名白帽,应对来自黑客的攻击和保护好服务器是一门必修课

0x01 应急响应基本流程

1)首先判断服务器资产、影响范围以及严重程度,确认有没有必要将服务器下线隔离,然后根据服务器的失陷时间和态势感知的告警,判断是由什么漏洞进来的
2)其次就是取证排查阶段,如果是web漏洞,就是查看web日志,根据失陷时间节点往上排查是否上传webshell;
再查看后门是否有恶意的命令执行、文件上传。如果有恶意的文件比如说.exe,可以放到一些微步社区平台分析;
如果是webshell的话,可以用d盾、河马进行查杀
3)接下来可以通过其他主机查看是否有相同的攻击迹象,然后排查是否有可疑的进程、端口、自启动项,可以用火绒剑查看有没有异常外联
4)然后就是进行攻击路径的还原,可以通过对日志、流量进行分析、确定他的攻击路径,然后判断出他的漏洞点并切断他的攻击路径
5)此时可以再观察一段时间,看有没有流量反连、有没有内存马
6)后面可以根据样本分析到的ip地址进行信息收集,进行常规的溯源,查看是否有个人id泄漏、社交平台搜索其个人信息、利用蜜罐系统反制等手段绘制攻击者画像
7)若无则尝试是否能够打进其服务器,比如说常见的cs反制,可以爆破攻击者cs服务器密码,或者利用cs漏洞拿到攻击者服务器权限,进一步获取攻击者信息

0x02 不同系统常用应急响应命令

Windows系统

用户排查:net user|lusrmgr.msc

用户排查

启动项排查:msconfig

计划任务排查:schtasks

计划任务

进程排查:netstat -ano | findstr "ESTABLISHED” #查看建立可以链接的PID进程;进程排查

nestat -anb #需要管理员权限,快速对应到相关程序

服务排查:services.msc

服务排查

日志排查:C:\WINDOWS\System32 config\SysEvent.evt或者eventvwr

日志排查

内存取证:Volatility工具

Window常用事件id

4624成功登录 7030服务创建错误

4625失败登录 7045服务创建

4720创建用户 4776成功/失败的账户认证

Linux系统

常用的一些命令

netstat:查看系统网络连接状态和监听端口情况,识别是否有异常连接。
ps:查看当前系统进程,识别是否有异常进程。
top:实时监控系统资源占用情况,发现异常进程或恶意程序。
lsof:列出当前系统打开的文件,包括进程号、文件描述符等信息,帮助发现具有威胁性的进程或文件。
tcpdump:抓取网络数据包,分析网络流量,检测网络攻击。
strace:跟踪进程的系统调用和信号,定位问题所在,发现异常进程。
md5sum:计算文件的MD5值,帮助验证文件完整性。
find:查找并定位目标文件或目录,搜索指定范围内的文件等。
grep:查找文本内容,支持正则表达式。
chattr: 设置文件或目录的属性,比如设置只读和隐藏属性等,保护系统安全。


应急响应
http://example.com/2024/06/13/应急响应/
Author
w1t2f3
Posted on
June 13, 2024
Licensed under