7.10. 应急响应

    7.10.1.2. 事件确认

    7.10.1.3. 事件响应

    7.10.1.4. 事件关闭

    7.10.2. 事件分类

    • 病毒、木马、蠕虫事件
    • Web服务器入侵事件
    • 第三方服务入侵事件
      • 系统入侵事件
        • 利用Windows漏洞攻击操作系统
      • 网络攻击事件
        • DDoS / ARP欺骗 / DNS劫持等
      • 基于变化的分析
        • 日期
        • 文件增改
        • 最近使用文件
      • 源码分析
        • 检查源码改动
        • 查杀WebShell等后门
    • 系统日志分析
      • 应用日志分析
        • 分析User-Agent,e.g.
        • 对每种攻击进行关键字匹配,e.g. select/alert/eval
    • md5sum 检查常用命令二进制文件的哈希,检查是否被植入rootkit

    7.10.3.2. 进程分析

      • 符合以下特征的进程
        • CPU或内存资源占用长时间过高
        • 没有签名验证信息
        • 没有描述信息的进程
        • 进程的路径不合法
    • dump系统内存进行分析

    7.10.3.3. 网络分析

    • 防火墙配置
    • DNS配置
    • 路由配置

    7.10.3.4. 配置分析

    • 查看Linux SE等配置
    • 查看环境变量
    • 查看配套的注册表信息检索,SAM文件
    • 内核模块

    7.10.4. Linux应急响应

      • 最近使用文件
        • find / -ctime -2
        • C:\Documents and Settings\Administrator\Recent
        • C:\Documents and Settings\Default User\Recent
        • %UserProfile%\Recent
      • 系统日志分析
        • /var/log/
      • 重点分析位置
        • /var/log/wtmp 登录进入,退出,数据交换、关机和重启纪录
        • /var/run/utmp 有关当前登录用户的信息记录
        • /var/log/lastlog 文件记录用户最后登录的信息,可用 lastlog 命令来查看。
        • /var/log/secure 记录登入系统存取数据的文件,例如 pop3/ssh/telnet/ftp 等都会被记录。
        • /var/log/cron 与定时任务相关的日志信息
        • /var/log/message 系统启动后的信息和错误日志
        • /var/log/apache2/access.log apache access log
        • /etc/passwd 用户列表
        • /etc/init.d/ 开机启动项
        • /etc/cron* 定时任务
        • 临时目录
        • ~/.ssh

    7.10.4.2. 用户分析

    • /etc/shadow 密码登陆相关信息
    • uptime 查看用户登陆时间
    • /etc/sudoers sudo用户列表

    7.10.4.3. 进程分析

    • netstat -ano 查看是否打开了可疑端口
    • w 命令,查看用户及其进程
        • /etc/init.d
        • ~/.bashrc
      • 查看计划或定时任务
        • crontab -l
    • netstat -an / lsof 查看进程端口占用

    7.10.5.1. 文件分析

      • 最近使用文件
        • C:\Documents and Settings\Administrator\Recent
        • C:\Documents and Settings\Default User\Recent
        • %UserProfile%\Recent
      • 系统日志分析
        • 事件查看器 eventvwr.msc
    • 查看是否有新增用户
    • 查看服务器是否有弱口令
    • 查看管理员对应键值
    • lusrmgr.msc 查看账户变化
    • 列出当前登录账户
    • wmic UserAccount get 列出当前系统所有账户

    7.10.5.3. 进程分析

    • netstat -ano 查看是否打开了可疑端口
    • tasklist 查看是否有可疑进程
      • 分析开机自启程序
        • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
        • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
        • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
        • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
        • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
        • (ProfilePath)\Start Menu\Programs\Startup 启动项
        • msconfig 启动选项卡
        • gpedit.msc 组策略编辑器
      • 查看计划或定时任务
        • C:\Windows\System32\Tasks\
        • C:\Windows\SysWOW64\Tasks\
        • C:\Windows\tasks\
        • schtasks
        • taskschd.msc

    7.10.6. 参考链接