应急响应
作为一名白帽,应对来自黑客的攻击和保护好服务器是一门必修课
0x01 应急响应基本流程
1)首先判断服务器资产、影响范围以及严重程度,确认有没有必要将服务器下线隔离,然后根据服务器的失陷时间和态势感知的告警,判断是由什么漏洞进来的
2)其次就是取证排查阶段,如果是web漏洞,就是查看web日志,根据失陷时间节点往上排查是否上传webshell;
再查看后门是否有恶意的命令执行、文件上传。如果有恶意的文件比如说.exe,可以放到一些微步社区平台分析;
如果是webshell的话,可以用d盾、河马进行查杀
3)接下来可以通过其他主机查看是否有相同的攻击迹象,然后排查是否有可疑的进程、端口、自启动项,可以用火绒剑查看有没有异常外联
4)然后就是进行攻击路径的还原,可以通过对日志、流量进行分析、确定他的攻击路径,然后判断出他的漏洞点并切断他的攻击路径
5)此时可以再观察一段时间,看有没有流量反连、有没有内存马
6)后面可以根据样本分析到的ip地址进行信息收集,进行常规的溯源,查看是否有个人id泄漏、社交平台搜索其个人信息、利用蜜罐系统反制等手段绘制攻击者画像
7)若无则尝试是否能够打进其服务器,比如说常见的cs反制,可以爆破攻击者cs服务器密码,或者利用cs漏洞拿到攻击者服务器权限,进一步获取攻击者信息
0x02 不同系统常用应急响应命令
Windows系统
用户排查:net user|lusrmgr.msc
启动项排查:msconfig
计划任务排查:schtasks
进程排查:netstat -ano | findstr "ESTABLISHED”
#查看建立可以链接的PID进程;
nestat -anb
#需要管理员权限,快速对应到相关程序
服务排查:services.msc
日志排查:C:\WINDOWS\System32 config\SysEvent.evt或者eventvwr
内存取证:Volatility工具
Window常用事件id
4624成功登录 7030服务创建错误
4625失败登录 7045服务创建
4720创建用户 4776成功/失败的账户认证
Linux系统
常用的一些命令
netstat
:查看系统网络连接状态和监听端口情况,识别是否有异常连接。ps
:查看当前系统进程,识别是否有异常进程。top
:实时监控系统资源占用情况,发现异常进程或恶意程序。lsof
:列出当前系统打开的文件,包括进程号、文件描述符等信息,帮助发现具有威胁性的进程或文件。tcpdump
:抓取网络数据包,分析网络流量,检测网络攻击。strace
:跟踪进程的系统调用和信号,定位问题所在,发现异常进程。md5sum
:计算文件的MD5值,帮助验证文件完整性。find
:查找并定位目标文件或目录,搜索指定范围内的文件等。grep
:查找文本内容,支持正则表达式。chattr
: 设置文件或目录的属性,比如设置只读和隐藏属性等,保护系统安全。