应急响应
作者:互联网
windows 应急响应 文件分析
一 分析开机启动文件
其中1.利用操作系统中的启动菜单 2.利用系统配置msconfig 3.利用注册表regedit (run)
二 temp临时异常文件分析(temp文件权限高 速度快) 所以运行输入%temp%,查看temp文件发现PE文件(exe,dll,sys),或者是否有其他特别大的tmp文件.
三 恶意文件检测网站 https://www.virustotal.com/
四 浏览器查看历史记录,cookie信息或者其他异常信息
五 文件时间属性包含 创建 修改 访问时间,平时都是以修改时间作为展示,看修改时间有没有早于创建时间.
六 打开最近文件 win+r %UserProfile%\Recent,分析具体世界范围的文件
windows 应急响应 进程分析
一 计算机与外部网络通信是建立在TCP或UDP协议上的,并且每一次通信都是具有不同的端口。如果计算机被放置木马后,肯定会与外部网络通信,那么此时就可以通过查看网络连接状态,找到对应的进程ID,然后关闭进程ID就可以关闭连接状态.
netstat -ano | find “ESTABLISHED”
tasklist /svc | find "PID" 查看具体PID进程对应的程序(任务管理器详细信息查看服务)
taskkill / PID pid值 /T 关闭进程 (加/F可以强行终止)
二 计划任务 命令行at schtasks.exe 或者 任务计划程序(可视化)
三 隐藏账号删除 隐藏账号的创建 net user test$ 123456 /add 加入到管理员用户组 net localgroup administrators test$ /add,在命令行终端 net user是无法找到此用户的,需要在计算机管理本地用户和组处删除.当然也有在终端或命令行都无法找到的设置,在win2003中使用工具HideAdmin.exe test$ 123456即可在注册表创建改用户.
恶意进程分析(挖矿或其他恶意行为)
对于可执行程序可以直接使用杀毒软件进行查杀,但是并非所有的恶意程序进行查杀.此时可以使用工具psexplore,然后使用virustotal.com进行分析.
systemifo:查询系统基本信息,以及打的一些补丁.
网站webshell的发现,工具进行扫描D盾,安全狗等安全产品.
Linux 应急响应
文件分析 - 敏感文件信息
Linux系统下一切都是文件,其中/tmp是一个特别的临时目录文件。每个用户都可以对它进行读写操作。因此一个普通用户也可以对/tmp目录执行读写操作.所以平时要多注意tmp文件下的文件
查看开机启动项内容 /etc/init.d/,恶意代码很有可能设置在开机自启动的位置,查看指定目录下文件时间顺序的排序:ls -alt | head -n 10 筛选出最新添加进去的10个内容 stat apache2 查看apache2的文件属性,包括大小时间等
新增文件分析:查找24小时内被修改的文件 find ./ -mtime 0 -name "*.php",其中./是在当前路径下 -mtime(-ctime)为时间其中0加一乘24就是时间了,-name "查找出以php结尾的文件类型".这个时候筛选出来就需要看php文件代码.
权限查找:在linux系统先如果是777权限也是很可疑的 find ./ -iname "*.php" -perm 777 其中-iname忽略大小写,-perm设定筛选文件权限
进程分析 网络连接分析常用命令: netstat -pantl 查看处于tcp网络套接字相关信息.关闭未知连接 kill -9 pid 即可关闭
Linux中进程所对文件,在Linux中可以使用ps查看进程相关信息,使用ps aux 查看所有进程信息,使用ps aux | grep PID 筛选出具体PID的进程信息
Linux登录查看 使用命令 last -i | grep -v 0.0.0.0 去除本地登录,w命令是实时查看登录状态.
异常用户分析排查: 在linux上使用useradd text就可以创建text用户,cat /etc/passwd可以发现用户uid和pid都是1000以上的,使用vim将1000都修改为0,那么这个用户就成了root用户,可以使用命令grep"0:0" /etc/passwd,来看有没有异常用户.awk -F: '$2=="!" {print $1}' /etc/shadow 没有密码
历史命令分析history:在Linux系统中默认会记录之前执行的命令 /root/.bash_history文件中,可以通过cat /root/.bash_history进行查看或使用history命令进行查看注意命令wget(远程下载木马) ssh(连接内网)
计划任务排查crontab:在Linux系统中可以使用命令crontab进行计划任务的设定,其中crontab -l 查看计划任务,crontab -e 编辑计划任务 crontab -r 用来删除计划任务
开机自启动项:查看开机启动项内容 /etc/init.d/,假设查看开机自启动的apache2状态,/etc/init.d/apache2 status,开启apache2 后面接start,停止stop,设置为开机自启动命令为update-rc.d apache2 disable 取消apache2的开机启动,enable开启开机启动.
$PATH变量异常:决定了shell将到那些目录中寻找命令或程序,PATH的值是一系列目录,当你运行一个程序时,Linux在这些目录进行搜寻编译链接.如ls cd,修改PATH 命令: export PATH=$PATH:/usr/locar/new/bin 本次终端中有效,重启后无效。在/etc/profile或/home/.bashrc (source~/.bashrc)才能永久生效.
后面排查-rkhunter Rkhunter具有以下功能:1.系统命令检测,MD5校验 2.Rookit检测 3.本机敏感目录,系统配置异常检测 安装:apt install rkhunter 基本使用:rkhunter --check --sk 自动检测
标签:文件,查看,etc,apache2,响应,Linux,开机,应急 来源: https://www.cnblogs.com/Pojian/p/15973186.html