1.事件状态判断 了解现状,了解发病时间,了解系统架构,然后确认被感染主机范围!2.临时处置 已感染主机:进行网络隔离,禁止使用U盘、移动银盘等移动存储设备 未感染主机:ACL隔离、关闭ssh、rdp等协议,禁止使用U盘、移动硬盘。3.信息收集分析 windows: A.文件排查: msconfig查看启动项 %UserProfile%\Recent查看最近使用的的文档 B.进程排查 netstat -ano查看网络连接、定位可疑的ESTABLISHED tasklist | findstr 1228 根据netstat定位出的pid,在通过tasklist进行进程定位 wmic process | findstr "vmvare-hostd.exe" 获取进程全路径 C.系统信息排查 查看环境变量设置 windows计划任务(程序-附件-系统工具-任务计划程序) windows账号信息,如隐藏账号等(compmgmt.msc)用户名以$结尾的为隐藏用户 查看当前系统用户的会话query user,logoff踢出该用户 查看systeminfo信息,系统版本以及补丁信息 工具排查 PC Hunter 信息信息查看 ProcessExplorer 系统和应用程序监视够工具 Network Monitor 网络协议分析 日志排查(计算机管理-事件查看器 eventvwr) 日志类型: 应用程序日志(应用程序日常使用记录) 系统安全日志(谁,使用什么权限、干了什么事) setup:软件安装、更新安装 系统日志:组策略更改等系统敏感操作 forwarded-Events:暂无日志信息 主要分析安全日志,借助自带的筛选和查找功能,将帅选日志导出使用notepad++打开 使用正则去匹配远程登录过的IP地址 ((?:(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))).){3}(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d)))) linux A.文件排查 使用stat命令: access time访问时间 modify time内容修改时间(黑客通过菜刀类工具改变的是修改时间,所以如果修改时间在创建时间之前明显是可以文件) change time属性改变时间 1.敏感目录文件分析[类/tmp目录、命令目录/usr/bin、/usr/sbin] ls -a 查看隐藏文件和目录 2.查看tmp目录下的文件 ls -alt /tmp [-t 按更改时间排序] 3.查看看机启动项 ls -alt /etc/init.d ,/etc/init.d是/etc/rc.d/init.d的软链接 4.按时间排序查看指定目录下的文件 ls -alt | head -n 10 5.查看历史命令记录文件 cat /root/.bash_history | more 6.查看操作系统用户信息文件/etc/passwd root:x:0:0:root:/root:/bin/bash [用户名:口令:用户标识:组标识:注释性描述:主目录:登录shell] 7.查找新增文件 查找24小时内被修改的php文件find ./ -mtime 0 -name "*.php" 查找72小时内新增的文件 find / -ctime 2 -mtime -n +n 按更改时间查找 -n n天以内 +n n天以前 -atime -n +n 按访问时间查找 -n n天以内 +n n天以前 -ctime -n +n 按创建时间查找 -n n天以内 +n n天以前 8.特殊权限文件查看 查找777权限的文件 find / *.php -perm 4777 9.隐藏的文件 ls -ar | grep "^\." 10.查看分析任务计划 crontab -u <-l、-r、-e> -u 指定用户 -l 列出某用户任务计划 -r 删除任务 -e 编辑某个用户的任务(也可以直接修改/etc/crontab文件) B.进程排查 1.使用netstat -anptl/-pantu | more 查看网络连接状况 2.根据netstat 定位出的可疑pid,使用ps命令、分析进程 ps aux | grep pid | grep -v grep C.日志排查 1.查看系统用户登录信息 lastlog,查看系统中所有用户最近一次登录的信息 lastb,显示用户错误的登录列表 last,显示用户最近登录信息。 D.事件处置 已感染主机:进行断网隔离、等待解密进展、重装系统 未感染主机: 补丁修复(在线补丁、离线补丁) 事件加固:安装防护软件(开启实时防护、及时更新病毒库) E.事件防御 预防:定期打补丁、口令策略加固 监控:部署杀毒软件、部署流量监测设备
