1 响应流程
事件发生
运维监控人员、客服审核人员等发现问题,向上通报。
事件确认
收集事件信息、分析网络活动相关程序,日志和数据,判断事件的严重性,评估出问题的严重等级,是否向
上进行汇报等。
事件响应
各部门通力合作,处理安全问题,具体解决问题,避免存在漏洞未修补、后门未清除等残留问题。
事件关闭
处理完事件之后,需要关闭事件,并写出安全应急处理分析报告,完成整个应急过程。
2 事件分类
• 后门、蠕虫事件
• Web 服务器入侵事件
• 第三方服务入侵事件
• 系统入侵事件
– 利用 Windows 漏洞攻操作系统
• 网络入侵事件
– DDoS / ARP 欺骗 / DNS 劫持等
3 分析方向
文件分析
• 基于变化的分析
– 日期
– 文件增改
– 最近使用文件
• 源码分析
– 检查源码改动
– 查杀 WebShell 等后门
• 系统日志分析
• 应用日志分析
– 分析 User-Agent,e.g. awvs / burpsuite / w3af / nessus / openvas
– 对每种入侵进行关键字匹配,e.g. select/alert/eval
– 异常请求,连续的 404 或者 500
• md5sum 检查常用命令二进制文件的哈希,检查是否被植入 rootkit
进程分析
• 符合以下特征的进程
– CPU 或内存资源占用长时间过高
– 没有签名验证信息
– 没有描述信息的进程
– 进程的路径不合法
• dump 系统内存进行分析
• 正在运行的进程
• 正在运行的服务
• 父进程和子进程
• 后台可执行文件的完整哈希
• 已安装的应用程序
• 运行着密钥或其他正在自动运行的持久化程序
• 计划任务
身份信息分析
• 本地以及域账号用户
• 异常的身份验证
• 非标准格式的用户名
日志分析
• 杀软检测记录
网络分析
• 防火墙配置
• DNS 配置
• DNS 配置
• 路由配置
• 监听端口和相关服务
• 最近建立的网络连接
• RDP / VPN / SSH 等会话
配置分析
• 查看 Linux SE 等配置
• 查看环境变量
• 查看配套的注册表信息检索,SAM 文件
• 内核模块