Linux和Windows入侵排查
目录
一、应急响应概述
1、安全事件分类
恶意程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件
2、黑客攻击的目的
窃取数据、加密勒索、瘫痪服务、挖矿、跳板机
3、应急响应的流程
信息收集、类型判断、原因分析、事件处置、编写报告
二、Linux入侵排查
1、系统资源
(1)CPU内存磁盘
(2)系统进程
(3)网络连接
2、用户和日志
(1)系统用户检查
(2)审计日志检查
(3)历史命令
3、文件和命令篡改
(1)系统文件篡改
(2)系统命令篡改
(3)SSH key文件
4、启动项和定时任务
(1)chkconfig
命令用于检查,设置系统的各种服务。
(2)systemctl
Systemctl是一个systemd工具,主要负责控制systemd系统和服务管理器。
(3)自启动文件
(4)定时任务
三、Linux应急措施
1、隔离主机
2、阻断通信
3、清除病毒
(1)kill -9 [pid]
(2)杀守护进程
4、清可疑用户
5、关启动项和服务
(1)chkconfig --del TEST
(2)systemctl disable 服务名
6、文件与后门
(1)系统命令篡改
(2)定时任务
(3)SSH key
(4)SUDO
(5)SUID
7、杀毒、重装系统、恢复数据
四、Windows入侵排查
1、系统账号安全
(1)弱口令
(2)可疑账号
(3)隐藏、克隆账号
(4)登录时间
2、检查异常端口、进程
(1)端口
端口情况:netstat -ano
进程情况:tasklist|findstr “进程号”
taskkill /f /t /im httpd.exe
(2)进程
任务管理器
3、启动项
(1)msconfig
(2)注册表regedit
(3)火绒-安全工具-启动项管理
4、计划任务
(1)taskschd.msc
(2)compmgmt.msc
(3)schtasks.exe
5、服务
(1)services.msc
6、策略组
(1)gpedit.msc
7、检查系统相关信息
(1)查找可疑目录文件
(2)最近打开文件
(3)回收站、浏览器下载目录、浏览器历史记录
(4)根据内容搜索恶意文件
(5)最新修改文件
(6)systeminfo.exe > systeminfo.txt