一、概述

1、概念
應(yīng)急響應(yīng)是指針對(duì)已經(jīng)發(fā)生或可能發(fā)生的安全事件進(jìn)行監(jiān)控、分析、協(xié)調(diào)、處理、保護(hù)資產(chǎn)安全。主要是為了人們對(duì)網(wǎng)絡(luò)安全有所認(rèn)識(shí)、有所準(zhǔn)備，以便在遇到突發(fā)網(wǎng)絡(luò)安全事件時(shí)做到有序應(yīng)對(duì)、妥善處理。
2、PDCERF(6階段)
a.準(zhǔn)備階段：預(yù)防為主，例如掃描、風(fēng)險(xiǎn)分析、打補(bǔ)丁等。簡(jiǎn)歷監(jiān)控措施、簡(jiǎn)歷數(shù)據(jù)匯總分析體系、制定能夠?qū)崿F(xiàn)應(yīng)急響應(yīng)目標(biāo)的策略和規(guī)程，建立信息溝通渠道，建立能夠集合起來(lái)處理突發(fā)事件的體系。
b.檢測(cè)階段：檢測(cè)事件是已經(jīng)發(fā)生的還是正在進(jìn)行中的，以及事件產(chǎn)生的原因。確定事件性質(zhì)和影響的嚴(yán)重程度，以及預(yù)計(jì)采用什么樣的專用資源來(lái)修復(fù)。
c.抑制階段：限制攻擊/破壞波及的范圍，同時(shí)也是降低潛在的損失。抑制策略：完全關(guān)閉所有系統(tǒng)；從網(wǎng)絡(luò)上斷開主機(jī)或斷開網(wǎng)絡(luò)部分；修改所有防火墻和路由器過(guò)濾規(guī)則；封鎖或刪除被攻擊的登錄賬號(hào)；加強(qiáng)對(duì)系統(tǒng)和網(wǎng)絡(luò)行為的監(jiān)控；設(shè)置誘餌服務(wù)器進(jìn)一步獲取事件信息；關(guān)閉受攻擊的系統(tǒng)或其它相關(guān)系統(tǒng)的部分服務(wù)。
d.根除階段:通過(guò)事件分析找出根源并徹底根除，以避免攻擊者再次使用相同的手段攻擊系統(tǒng)。
e.恢復(fù)階段：把被破壞的信息徹底換原到正常運(yùn)作狀態(tài)。
f.總結(jié)階段：回顧并整合應(yīng)急響應(yīng)過(guò)程的相關(guān)信息，進(jìn)行事后分析總結(jié)和修訂安全計(jì)劃、政策、程序，并進(jìn)行訓(xùn)練，以防止入侵的再次發(fā)生。
3、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)場(chǎng)景
勒索病毒、挖礦木馬、Webshell、網(wǎng)頁(yè)篡改、DDos攻擊、數(shù)據(jù)泄露、流量劫持。
4、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)處理流程
事件類型
時(shí)間范圍
系統(tǒng)排查
進(jìn)程排查
服務(wù)排查
文件痕跡排查
日志分析
得出結(jié)論

二、理論

系統(tǒng)排查

系統(tǒng)基本信息

windows

msinfo32：系統(tǒng)信息，顯示本地計(jì)算機(jī)的硬件資源、組件和軟件環(huán)境信息。正在運(yùn)行任務(wù)、服務(wù)、系統(tǒng)驅(qū)動(dòng)程序、加載的模塊、啟動(dòng)程序等進(jìn)行排查。
systeminfo：系統(tǒng)信息，主機(jī)名、操作系統(tǒng)版本等詳細(xì)信息。

Linux

lscpu：CPU信息，型號(hào)、主頻、內(nèi)核等。 uname -a：操作系統(tǒng)信息， cat /proc/version：操作系統(tǒng)版本信息
lsmod：所有載入系統(tǒng)的模塊信息

用戶信息

Windows

net user：查看用戶賬戶信息（看不到以$結(jié)尾的隱藏用戶）； net user
username：查看用戶名為username用戶的詳細(xì)信息； lusrmgr.msc：打開本地用戶與組，可查看隱藏用戶；
打開計(jì)算機(jī)管理-本地用戶與組可查看隱藏用戶； wmic useraccount get name,sid：查看系統(tǒng)中的所有用戶；
注冊(cè)表查看是否存在克隆賬戶：regedit打開注冊(cè)表，選擇HKEY_LOCAL_MACHHINE下的SAM選項(xiàng)，為該項(xiàng)添加允許父項(xiàng)的繼承權(quán)限傳播到該對(duì)象和所有子對(duì)象。包括那些在此明確定義的目標(biāo)和用在此顯示的可以應(yīng)用到子對(duì)象的項(xiàng)目替代所有子對(duì)象的權(quán)限項(xiàng)目權(quán)限，使當(dāng)前用戶擁有SAM的讀取權(quán)限。添加之后F5刷新即可訪問子項(xiàng)并查看用戶信息。同時(shí)，在此項(xiàng)下導(dǎo)出所有00000開頭的項(xiàng)，將所有導(dǎo)出的項(xiàng)與000001F4（對(duì)應(yīng)Administrator用戶）導(dǎo)出內(nèi)容做比較，若其中的F值相同，則表示可能為克隆賬戶。

Linux

查看所有用戶信息：cat /etc/passwd
后續(xù)各項(xiàng)由冒號(hào)隔開，分別表示用戶名、密碼加密、用戶ID、用戶組ID、注釋、用戶主目錄、默認(rèn)登錄shell。最后顯示
bin/bash的，表示賬戶狀態(tài)可登錄，顯示sbin/nologin的，不可登陸。 awk -F: ‘{if($3==0)print
$1}’ /etc/passwd ：查詢登錄賬戶UID=0的賬戶，root是uid等于0的賬戶，如果出現(xiàn)其它的賬戶，就要重點(diǎn)排查；
查看可登錄賬戶：cat /etc/passwd | grep ‘/bin/bash’
查看用戶錯(cuò)誤的登錄信息：lastb（包括錯(cuò)誤的登錄方法、ip、時(shí)間等） 查看所有用戶最后的登錄信息：lastlog
查看用戶最近登錄信息：last 查看當(dāng)前用戶登錄系統(tǒng)信息：who 查看空口令賬戶：awk -F: ‘length($2)==0 {print
$1}’ /etc/shadow

啟動(dòng)項(xiàng)：開機(jī)系統(tǒng)在前臺(tái)或者后臺(tái)運(yùn)行的程序，是病毒等實(shí)現(xiàn)持久化駐留的常用方法。

Windows

msconfig：可查看啟動(dòng)項(xiàng)的詳細(xì)信息； 注冊(cè)表查看：
HKEY_CLASSES_ROOT:此處存儲(chǔ)的信息可確保在windows資源管理器中執(zhí)行時(shí)打開正確的程序。它還包含有關(guān)拖放規(guī)則、快捷方法和用戶界面信息的更多詳細(xì)信息；
HKEY_CURRENT_USER:包含當(dāng)前登錄系統(tǒng)的用戶的配置信息，有用戶的文件夾、屏幕顏色和控制面板設(shè)置；
HKEY_LOCAL_MACHINE:包含運(yùn)行操作系統(tǒng)的硬件特定信息，有系統(tǒng)上安裝的驅(qū)動(dòng)器列表及已安裝硬件和應(yīng)用程序的通用配置；
HKEY_USERS：包含系統(tǒng)上所有用戶的配置信息，有應(yīng)用程序配置和可視配置；
HKEY_CURRENT_CONFIG:存儲(chǔ)有關(guān)系統(tǒng)當(dāng)前配置信息。 查看注冊(cè)表中的信息：reg query
“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”

Linux

cat /etc/init.d/rc.local cat /etc/rc.local ls -alt /etc/init.d
查看init.d文件夾下的所有文件的詳細(xì)信息

任務(wù)計(jì)劃：由于很多計(jì)算機(jī)都會(huì)自動(dòng)加載“任務(wù)計(jì)劃”，因此任務(wù)計(jì)劃也是病毒實(shí)現(xiàn)持久化駐留的一種常用手段。

Windows

eventvwr：打開事件查看器，可看日志
打開計(jì)算機(jī)管理——系統(tǒng)工具——任務(wù)計(jì)劃程序——任務(wù)計(jì)劃程序庫(kù)：可查看任務(wù)計(jì)劃的名稱、狀態(tài)、觸發(fā)器等信息；
命令行輸入schtasks：可獲取任務(wù)計(jì)劃信息，要求是本地Administrator組的成員；
在PowerShell下輸入get-scheduledtask 可查看當(dāng)前系統(tǒng)中所有任務(wù)計(jì)劃信息，包括路徑、名稱、狀態(tài)等詳細(xì)信息。

Linux

crontab -l：可查看當(dāng)前任務(wù)計(jì)劃 crontab -u root -l：查看root用戶的任務(wù)計(jì)劃（指定用戶）

查看etc目錄下的任務(wù)計(jì)劃文件：一般在linux系統(tǒng)中的任務(wù)計(jì)劃文件是以cron開頭的，可以利用正則表達(dá)式的篩選出etc目錄下的所有以cron開頭的文件，具體表達(dá)式為/etc/cron,例如查看etc目錄下的所有任務(wù)計(jì)劃文件就可以輸入ls
/etc/cron命令。
/etc/crontab
/etc/cron.d/
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab

其它

windows防火墻的入站規(guī)則和出站規(guī)則 netsh ：查看 netsh firewall show
state:顯示當(dāng)前防火墻的網(wǎng)絡(luò)配置狀態(tài)

進(jìn)程排查

是計(jì)算機(jī)中的程序關(guān)于某數(shù)據(jù)結(jié)合的一次運(yùn)行活動(dòng)，是系統(tǒng)進(jìn)行資源分配和調(diào)度的基本單位，是操作系統(tǒng)結(jié)構(gòu)的基礎(chǔ)。主機(jī)在感染惡意程序后，惡意程序都會(huì)啟動(dòng)相應(yīng)的進(jìn)程，來(lái)完成相關(guān)的惡意操作，有的惡意進(jìn)程為了不被查殺，還會(huì)啟動(dòng)相應(yīng)的守護(hù)進(jìn)程來(lái)對(duì)惡意進(jìn)程進(jìn)行守護(hù)。

Windows

通過(guò)任務(wù)管理器查看； tasklist：可顯示計(jì)算機(jī)中的所有進(jìn)程，可查看進(jìn)程的映像名稱、PID、會(huì)話等信息； tasklist
/svc：可以顯示每個(gè)進(jìn)程和服務(wù)對(duì)應(yīng)的情況； tasklist /m：查詢加載的DLL tasklist /m wmiutils.dll
:查詢特定dll的調(diào)用情況 tasklist /svc /fi “pid eq
284”：過(guò)濾器功能，eq等于、nq不等于、gt大于、lt小于、ge大于等于、le小于等于、

netstat：可顯示網(wǎng)絡(luò)連接的信息，包括活動(dòng)的TCP連接、路由器和網(wǎng)絡(luò)接口信息，是一個(gè)監(jiān)控TCP/IP網(wǎng)絡(luò)的工具。
端口定位程序：通過(guò)netstat定位處PID，然后用tasklist查看具體的程序，例如：netstat -ano |findstr
“3306” 定位出pid=6616 tasklist |find “6616” netstat -anb
3306：端口快速定位程序，需要管理員權(quán)限； powershell排查：對(duì)于有守護(hù)進(jìn)程的進(jìn)程，許確認(rèn)子父進(jìn)程之間的關(guān)系
get-wmiobject win32_process | select
name,processid,parentprocessid,path
wmic命令查詢：可對(duì)進(jìn)程進(jìn)行查詢以csv格式來(lái)顯示進(jìn)程名稱、父進(jìn)程id、進(jìn)程id wmic process get
name,parentprocessid,processid/format:csv

Linux

netstat:分析可以端口、分析可疑ip地址、可疑pid及程序進(jìn)程； ls -alt
/proc/PID：查看PID為600的進(jìn)程可執(zhí)行程序； lsof -p PID:查看進(jìn)程所打開的文件； kill -9 PID：結(jié)束進(jìn)程；
rm -rf filename ：刪除名為filename的文件；
如果root用戶都無(wú)法刪除相關(guān)文件，可能是因?yàn)樵撐募患由狭薸屬性，使用lsattr filename 查看文件屬性，然后用chattr
-i filename 可移除i屬性，進(jìn)而刪除文件。也有因?yàn)檫M(jìn)程存在守護(hù)進(jìn)程而無(wú)法被刪除，可先將進(jìn)程掛起，查殺守護(hù)進(jìn)程后，再返回將進(jìn)程刪除。補(bǔ)充：chattr +i
filename 加i屬性。 查看隱藏進(jìn)程：順序執(zhí)行以下三條命令
ps -ef | awk ‘{print}’|sort -n |uniq>1
ls /proc |sort -n |uniq>2
diff 1 2 top：可用于挖礦進(jìn)程排查，顯示占用率較高的進(jìn)程。

服務(wù)排查

服務(wù)可以理解為運(yùn)行在后臺(tái)的進(jìn)程，服務(wù)可以在計(jì)算機(jī)啟動(dòng)時(shí)自動(dòng)啟動(dòng)，也可暫停和重啟，而且不顯示任何用戶界面，服務(wù)非常適合在服務(wù)器上使用，通常在為了不影響在同一天計(jì)算機(jī)上工作的其它用戶，且需要長(zhǎng)時(shí)間運(yùn)行功能時(shí)使用。在應(yīng)急響應(yīng)中，服務(wù)作為一種運(yùn)行在后臺(tái)的進(jìn)程，是惡意軟件常用的駐留方法。

Windows

services.msc：打開服務(wù)窗口，查看所有的服務(wù)項(xiàng)，包括服務(wù)的名稱、描述、狀態(tài)等。

Linux

chkconfig --list：可查看系統(tǒng)運(yùn)行的服務(wù)；
service --status-all：可查看所有服務(wù)的狀態(tài)；

文件痕跡排查

惡意軟件、木馬、后門都會(huì)在文件維度上留下痕跡，排查思路：

對(duì)惡意軟件常用的敏感路徑進(jìn)行排查；
在確定了應(yīng)急響應(yīng)事件的時(shí)間點(diǎn)后，對(duì)時(shí)間點(diǎn)前后的文件進(jìn)行排查；
對(duì)帶有特征的惡意軟件進(jìn)行排查，包括代碼關(guān)鍵字或關(guān)鍵函數(shù)、文件權(quán)限特征。

Windows

敏感目錄
各個(gè)盤下的temp(tmp)相關(guān)目錄，有些惡意程序釋放字體(即惡意程序運(yùn)行時(shí)投放出的文件)一般會(huì)在程序中寫好投放的路徑，由于不同系統(tǒng)版本的路徑有所差別，但臨時(shí)文件的路徑相對(duì)統(tǒng)一，因此在程序中寫好的路徑一般是臨時(shí)路徑；

查看瀏覽器歷史記錄、下載文件和cookie信息：攻擊者可能會(huì)下載一些后續(xù)攻擊工具；

查看用戶Recent文件：存儲(chǔ)最近運(yùn)行文件的快捷方式，一般在windows中的路徑為： C:\Document and
Settings\Administrator(系統(tǒng)用戶名)\Recent C:\Document and Settings\Default
User\Recent
Prefetch：預(yù)讀取文件夾，存放系統(tǒng)已經(jīng)訪問過(guò)的文件的讀取信息，擴(kuò)展名為pf，可加快系統(tǒng)啟動(dòng)進(jìn)程，啟動(dòng)：%systemroot%\prefetch
amcache.hve:可查看應(yīng)用程序執(zhí)行路徑、上次執(zhí)行時(shí)間及sha1值。啟動(dòng)：%systemroot%\appcompat\programs
時(shí)間點(diǎn)查找 forfiles 攻擊者可能會(huì)對(duì)時(shí)間動(dòng)手腳 webshell
D盾、HwsKill、WebshellKill等工具對(duì)目錄下的文件進(jìn)行規(guī)則查詢，

Linux

敏感目錄 /tmp、 /usr/bin、 /usr/sbin：經(jīng)常作為惡意軟件下載目錄及相關(guān)文件被替換的目錄；
~/.ssh、/etc/ssh：經(jīng)常作為后門配置的路徑

時(shí)間點(diǎn)查找 find：可對(duì)某一時(shí)間段內(nèi)增加的文件進(jìn)行查找；
stat：對(duì)文件的創(chuàng)建時(shí)間、修改時(shí)間、訪問時(shí)間進(jìn)行排查；

特殊文件
查找777權(quán)限的文件：find /tmp -perm 777

webshell查找
初篩：find /var/www/ -name “*.php”
工具：findWebshell、Scan_Webshell.py掃描排查

對(duì)系統(tǒng)命令進(jìn)行排查
ls、ps可能被攻擊者替換，ls -alt /bin 查看命令目錄中的系統(tǒng)命令的修改時(shí)間進(jìn)行排查；
ls -alh /bin：查看相關(guān)文件大小，若明顯偏大，則文件很可能被替換；

linux后門檢測(cè)
工具:chkrootkit（出現(xiàn)infected說(shuō)明有后門）、rkhunter 排查suid程序
find /-type f -perm -04000 -ls -uid 0 2 >/dev/null

日志排查

Windows：在運(yùn)行對(duì)話框中輸入eventvwr，打開事件查看器窗口，可查看windows相關(guān)日志。

系統(tǒng)日志：%SystemRoot%\System32\Winevt\Logs\System.evtx 系統(tǒng)中的各個(gè)組件在運(yùn)行中產(chǎn)生的各種事件

安全性日志:%SystemRoot%\System32\Winevt\Logs\security.evtx
記錄各種安全相關(guān)的事件，登錄操作、對(duì)系統(tǒng)文件進(jìn)行創(chuàng)建、刪除、更改等操作。

應(yīng)用程序日志：%SystemRoot%\System32\Winevt\Logs\Application.evtx

日志常用事件id 4624：登陸成功 4625：登錄失敗

日志分析
日志篩選器進(jìn)行分析
PowerShell分析 Get-WinEvent Get-WinEvent Security -InstanceId 4625:獲取安全性日志下事件id為4625的所有日志信息。
使用工具

Linux

日志概述
linux系統(tǒng)日志一般在/var/log/下

/var/log/wtmp：記錄登錄進(jìn)入、退出、數(shù)據(jù)交換、關(guān)機(jī)和重啟，及l(fā)ast
/var/log/cron：記錄與定時(shí)任務(wù)相關(guān)的日志信息；
/var/log/message:記錄系統(tǒng)啟動(dòng)后的信息和錯(cuò)誤日志；
/var/log/apache2/access.log：記錄apache的訪問日志；
/var/log/auth.log：記錄系統(tǒng)授權(quán)信息，包括用戶登錄和使用的權(quán)限機(jī)制等；
…
日志分析
…
其它日志
除了windows、linux系統(tǒng)日志分析外，還有Web日志、中間件日志、數(shù)據(jù)庫(kù)日志、FTP日志等進(jìn)行分析。

IIS日志
%systemdrive%\inetpub\logs\logfiles
%systemroot%\system32\logfiles\w3svc1

…

Apache日志
/var/log/httpd/access.log
/var/log/apache/access.log
/var/log/apache2/access.log
/var/log/httpd-access.log

Nginx日志
默認(rèn)在/usr/local/nginx/logs目錄下，access.log代表訪問日志，error.log代表錯(cuò)誤日志。若沒在默認(rèn)路徑下，則可到nginx.conf配置文件中查找。

Tomcat日志 tomcat/log下 Vsftp日志
/var/log/messages 可通過(guò)編輯/etc/vsftp/vsftp.conf配置文件來(lái)啟用單獨(dú)的日志，啟用后，可訪問vsftp.log和xferlog。

Weblogic日志
有三種日志：access log、 server log 、 domain log。

數(shù)據(jù)庫(kù)日志

			Oracle
				select * from v$logfile：查詢?nèi)罩久?，默認(rèn)在$ORACLE/rdbms/log目錄下，
				select * from v$sql：可查詢之前使用的sql；
			Mysql
				默認(rèn)路徑：/var/log/mysql/
				可查看日志是否開啟：show variables like 'general';
				開啟日志：set global general_log = 'ON';
			Mssql
				一般無(wú)法查看，需要登錄到SQL Server Management Studio,在管理——SQL Server日志 中查看。

內(nèi)存分析

流量分析

ip.addr==ip：對(duì)指定ip地址進(jìn)行過(guò)濾；
ip.src==ip：對(duì)指定的源ip地址進(jìn)行過(guò)濾；
直接輸入http、https、smtp、arp等協(xié)議進(jìn)行篩選；
top.port==端口號(hào)或tcp.port==端口號(hào)對(duì)端口進(jìn)行過(guò)濾；
tcp contains stings ：對(duì)數(shù)據(jù)包中的關(guān)鍵字進(jìn)行檢索。

威脅情報(bào)

三、工具

四、場(chǎng)景

1、勒索病毒網(wǎng)絡(luò)安全應(yīng)急響應(yīng)

1、常見勒索病毒
WannaCry勒索病毒、GlobeImposter勒索病毒、Crysis/Dharma勒索病毒、GandCrab勒索病毒、Satan勒索病毒、Sacrab勒索病毒、Matrix勒索病毒、Stop勒索病毒、Paradise勒索病毒
2、常規(guī)處置方法
隔離被感染的服務(wù)器、主機(jī)
防止勒索病毒通過(guò)網(wǎng)絡(luò)繼續(xù)感染其它服務(wù)器、主機(jī)，防止攻擊者通過(guò)感染的服務(wù)器/主機(jī)繼續(xù)操縱其它設(shè)備
措施：
物理隔離：斷網(wǎng)、斷電，關(guān)閉服務(wù)器/主機(jī)的無(wú)線網(wǎng)絡(luò)、藍(lán)牙連接等，禁用網(wǎng)卡，并拔掉服務(wù)器/主機(jī)上的外部存儲(chǔ)設(shè)備；
訪問控制：對(duì)訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格控制和認(rèn)證，加策略和修改登錄密碼；
排查業(yè)務(wù)系統(tǒng)
檢查核心業(yè)務(wù)系統(tǒng)和備份系統(tǒng)，確定感染范圍。
確定勒索病毒種類，進(jìn)行溯源分析
從加密的磁盤中尋找勒索信息，再通過(guò)勒索病毒處置工具查看是否可以解密；
溯源分析：查看服務(wù)器/主機(jī)上的日志和樣本，可疑文件，工具進(jìn)行日志和樣本分析；
恢復(fù)數(shù)據(jù)和業(yè)務(wù)
備份數(shù)據(jù)恢復(fù)業(yè)務(wù)
磁盤數(shù)據(jù)恢復(fù)
第三方方安全公司
后續(xù)防護(hù)建議
服務(wù)器終端防護(hù)
強(qiáng)密碼、殺毒軟件、打補(bǔ)丁、開啟日志收集；
網(wǎng)絡(luò)防護(hù)與安全監(jiān)測(cè)
內(nèi)網(wǎng)安全域合理劃分，限制橫向移動(dòng)范圍；
應(yīng)用系統(tǒng)防護(hù)及數(shù)據(jù)備份
加固、備份、預(yù)案；
3、錯(cuò)誤處置方法
不要再中毒服務(wù)器/主機(jī)上插U盤、硬盤等移動(dòng)存儲(chǔ)設(shè)備：勒索病毒會(huì)對(duì)服務(wù)器/主機(jī)上的所有文件加密；
不要用網(wǎng)上的解密工具反復(fù)讀/寫磁盤中的文件，可能降低數(shù)據(jù)正確恢復(fù)的概率，也可能破壞原始文件；
4、工具
被攻擊之后，確定勒索病毒種類，判斷能否解密
奇安信勒索病毒搜索引擎：lesuobingdu.qianxin.com
360安全衛(wèi)士勒索病毒搜索引擎：lesuobingdu.#
5、勒索病毒應(yīng)急思路
了解事態(tài)現(xiàn)狀、系統(tǒng)架構(gòu)、感染時(shí)間、確定感染面；
對(duì)已中招服務(wù)器/主機(jī)下線隔離；
未中招做好防護(hù)：關(guān)閉端口加固、補(bǔ)丁等等
對(duì)服務(wù)器/主機(jī)進(jìn)行檢查：
系統(tǒng)排查
賬戶排查
Windows
打開本地用戶與組：lusrmgr.msc
查看所有用戶：wmic useraccount get name,sid
Linux
cat /etc/passwd ：查看所有用戶信息
awk -F: '{if($3==0)print KaTeX parse error: Expected 'EOF', got '}' at position 2: 1}?' /etc/passwd ：…"：可查看能夠登錄的賬戶
進(jìn)程排查
Windows
tasklist或任務(wù)管理器
Linux
網(wǎng)絡(luò)連接：netstat -ano
任務(wù)計(jì)劃：
服務(wù)：
啟動(dòng)項(xiàng)：
文件排查：
補(bǔ)丁排查：
日志排查
系統(tǒng)日志
安全日志
安全日志是否有暴力破解記錄，異常ip地址登錄記錄，溯源，定位攻擊的突破口；
網(wǎng)絡(luò)流量排查
清除加固
對(duì)服務(wù)器/主機(jī)進(jìn)行抑制和恢復(fù)：對(duì)惡意賬號(hào)、進(jìn)程、任務(wù)計(jì)劃、啟動(dòng)項(xiàng)、服務(wù)等進(jìn)行清理，刪除惡意樣本、打補(bǔ)丁、強(qiáng)密碼、安裝殺毒軟件、部署流量檢測(cè)設(shè)備。
6、如何判斷遭遇勒索病毒攻擊？
業(yè)務(wù)系統(tǒng)無(wú)法訪問；
文件后綴被篡改；
勒索信展示；
桌面上有新的文本文件；
7、了解勒索病毒的加密時(shí)間
推斷攻擊者執(zhí)行勒索程序的時(shí)間軸，方便后續(xù)進(jìn)行溯源。
Windows
通過(guò)文件修改日期初步判斷(要綜合判斷，因?yàn)楣粽呖赡軅卧鞎r(shí)間)
Linux
stat：可查看Access訪問、Modify內(nèi)容修改、Change屬性改變?nèi)齻€(gè)時(shí)間

2、挖礦木馬網(wǎng)絡(luò)安全應(yīng)急響應(yīng)

1、挖礦木馬：利用計(jì)算機(jī)的算力挖掘數(shù)字貨幣。
2、常見挖礦木馬：WannaMine、Mykings(隱匿者)、Bulehero、8220Miner、匿影、DDG、h2Miner、MinerGuard、Kworkerds、Watchdogs。
3、挖礦木馬的傳播方法
漏洞傳播
弱密碼暴力破解傳播
僵尸網(wǎng)絡(luò)
無(wú)文件攻擊方法
網(wǎng)頁(yè)掛馬
軟件供應(yīng)鏈攻擊
社交軟件、郵箱
4、挖礦木馬利用漏洞
弱密碼
未授權(quán)訪問
命令執(zhí)行
…
5、常規(guī)處置方法
隔離被感染的服務(wù)器/主機(jī)
防止攻擊者以當(dāng)前服務(wù)器/主機(jī)為跳板對(duì)統(tǒng)一局域網(wǎng)內(nèi)的其它機(jī)器進(jìn)行漏洞掃描和利用，禁用非業(yè)務(wù)端口、服務(wù)、配置ACL白名單，非重要業(yè)務(wù)系統(tǒng)建議下線隔離，再排查。
如何確認(rèn)挖礦
進(jìn)程排查
木馬清除
阻斷礦池地址連接
清除挖礦定時(shí)任務(wù)、啟動(dòng)項(xiàng)等
定位挖礦木馬文件，刪除
挖礦木馬防范
挖礦木馬僵尸網(wǎng)絡(luò)防范
避免使用弱密碼
打補(bǔ)丁
服務(wù)器定期維護(hù)
網(wǎng)頁(yè)/客戶端挖礦木馬防范
瀏覽網(wǎng)頁(yè)時(shí)，主頁(yè)CPU、GPU使用率
避免訪問高危網(wǎng)站
避免下載來(lái)路不明的軟件
6、應(yīng)急思路
判斷挖礦木馬
CPU使用率、系統(tǒng)卡頓、部分服務(wù)無(wú)法正常運(yùn)行等現(xiàn)象；
通過(guò)服務(wù)器性能監(jiān)測(cè)設(shè)備查看服務(wù)器性能；
挖礦木馬會(huì)與礦池建立連接，通過(guò)安全檢測(cè)類設(shè)備告警判斷；
判斷挖礦木馬挖礦時(shí)間
查看木馬文件創(chuàng)建時(shí)間；
查看任務(wù)計(jì)劃創(chuàng)建時(shí)間；
查看礦池地址，通過(guò)安全類檢測(cè)設(shè)備；
判斷挖礦木馬傳播范圍
挖礦木馬會(huì)與礦池建立連接，通過(guò)安全類監(jiān)測(cè)設(shè)備監(jiān)測(cè)；
了解網(wǎng)絡(luò)部署環(huán)境
網(wǎng)絡(luò)架構(gòu)、主機(jī)數(shù)據(jù)、系統(tǒng)類型、相關(guān)安全設(shè)備
系統(tǒng)排查
Windows
用戶排查：攻擊者為了在系統(tǒng)中實(shí)現(xiàn)持久化駐留，
net user
lusrmgr.msc可查看隱藏用戶
查注冊(cè)表：攻擊者可能會(huì)克隆正常用戶名來(lái)隱藏自己
網(wǎng)絡(luò)連接
netstat -ano |find “445”
進(jìn)程排查
tasklist
任務(wù)管理器
工具
任務(wù)計(jì)劃
打開計(jì)算機(jī)管理——系統(tǒng)工具——任務(wù)計(jì)劃程序——任務(wù)計(jì)劃程序庫(kù)：可查看任務(wù)計(jì)劃的名稱、狀態(tài)、觸發(fā)器等信息；
命令行輸入schtasks：可獲取任務(wù)計(jì)劃信息，要求是本地Administrator組的成員；
在PowerShell下輸入get-scheduledtask 可查看當(dāng)前系統(tǒng)中所有任務(wù)計(jì)劃信息，包括路徑、名稱、狀態(tài)等詳細(xì)信息。
服務(wù)排查
services.msc
Linux
用戶排查
cat /etc/passwd:查看系統(tǒng)中所有用戶信息；
lastlog：查看系統(tǒng)中用戶最后登錄信息；
lastb：查看用戶錯(cuò)誤登錄列表；
last：查看用戶最近登錄信息；
who：查看當(dāng)前用戶登錄情況；
awk -F：‘length($2)==0 {print $1}’ /etc/shadow ：查看是否存在空口令賬戶；
進(jìn)程排查
ps aux
netstat -antp：可查看進(jìn)程、端口、PID
ls -alh /proc/PID：查看對(duì)應(yīng)可執(zhí)行程序
top
lsof -p PID：查看對(duì)應(yīng)PID對(duì)應(yīng)的可執(zhí)行程序
lsof -i:port：查看指定端口對(duì)應(yīng)的程序
ll /proc/PID：可查看進(jìn)程詳細(xì)信息
任務(wù)計(jì)劃排查
crontab -l:查看任務(wù)計(jì)劃
日志排查
Windows
eventvwr：打開事件查看器，可看日志
位置：%SystemRoot%\System32\Winevt\Logs
應(yīng)用程序日志：Application.evtx
安全性日志：Security.evtx
系統(tǒng)日志：System.evtx
常用檢測(cè)事件id：
4728：把用戶添加進(jìn)安全全局組，如Administrator組
4797：試圖查詢賬戶是否存在空密碼
4624：登錄成功日志
4625：登錄失敗日志
4672：表示特權(quán)用戶登陸成功會(huì)產(chǎn)生的日志，如Administrator
4648：:其它登錄情況
Linux
任務(wù)計(jì)劃日志
crontab -l：查看當(dāng)前任務(wù)計(jì)劃有哪些，后門
ls /etc/cron*:
cat /var/log/cron：任務(wù)計(jì)劃日志
ls /var/spool/mail
cat /var/spool/mail/root:
自啟動(dòng)日志文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-842810.html

3、Webshell網(wǎng)絡(luò)安全應(yīng)急響應(yīng)

4、網(wǎng)頁(yè)篡改網(wǎng)絡(luò)安全應(yīng)急響應(yīng)

5、DDos攻擊網(wǎng)絡(luò)安全應(yīng)急響應(yīng)

6、數(shù)據(jù)泄露網(wǎng)絡(luò)安全應(yīng)急響應(yīng)

7、流量劫持網(wǎng)絡(luò)安全應(yīng)急響應(yīng)

到了這里，關(guān)于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)(歸納)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！