应急响应

作为一名白帽，应对来自黑客的攻击和保护好服务器是一门必修课

0x01 应急响应基本流程

1）首先判断服务器资产、影响范围以及严重程度，确认有没有必要将服务器下线隔离，然后根据服务器的失陷时间和态势感知的告警，判断是由什么漏洞进来的
2）其次就是取证排查阶段，如果是web漏洞，就是查看web日志，根据失陷时间节点往上排查是否上传webshell；
再查看后门是否有恶意的命令执行、文件上传。如果有恶意的文件比如说.exe，可以放到一些微步社区平台分析；
如果是webshell的话，可以用d盾、河马进行查杀
3）接下来可以通过其他主机查看是否有相同的攻击迹象，然后排查是否有可疑的进程、端口、自启动项，可以用火绒剑查看有没有异常外联
4）然后就是进行攻击路径的还原，可以通过对日志、流量进行分析、确定他的攻击路径，然后判断出他的漏洞点并切断他的攻击路径
5）此时可以再观察一段时间，看有没有流量反连、有没有内存马
6）后面可以根据样本分析到的ip地址进行信息收集，进行常规的溯源，查看是否有个人id泄漏、社交平台搜索其个人信息、利用蜜罐系统反制等手段绘制攻击者画像
7）若无则尝试是否能够打进其服务器，比如说常见的cs反制，可以爆破攻击者cs服务器密码，或者利用cs漏洞拿到攻击者服务器权限，进一步获取攻击者信息

0x02 不同系统常用应急响应命令

Windows系统

用户排查：net user|lusrmgr.msc

启动项排查：msconfig

计划任务排查：schtasks

进程排查：netstat -ano | findstr "ESTABLISHED” #查看建立可以链接的PID进程；

nestat -anb #需要管理员权限，快速对应到相关程序

服务排查：services.msc

日志排查：C:\WINDOWS\System32 config\SysEvent.evt或者eventvwr

内存取证：Volatility工具

Window常用事件id

4624成功登录 7030服务创建错误

4625失败登录 7045服务创建

4720创建用户 4776成功/失败的账户认证

Linux系统

常用的一些命令

netstat：查看系统网络连接状态和监听端口情况，识别是否有异常连接。
ps：查看当前系统进程，识别是否有异常进程。
top：实时监控系统资源占用情况，发现异常进程或恶意程序。
lsof：列出当前系统打开的文件，包括进程号、文件描述符等信息，帮助发现具有威胁性的进程或文件。
tcpdump：抓取网络数据包，分析网络流量，检测网络攻击。
strace：跟踪进程的系统调用和信号，定位问题所在，发现异常进程。
md5sum：计算文件的MD5值，帮助验证文件完整性。
find：查找并定位目标文件或目录，搜索指定范围内的文件等。
grep：查找文本内容，支持正则表达式。
chattr: 设置文件或目录的属性，比如设置只读和隐藏属性等，保护系统安全。