當企業發生黑客入侵、系統崩潰或其它影響業務正常執行的安全事件時,急需第一時間進行處理,使企業的網路資訊系統在最短時間內恢復正常工作,進一步查詢入侵**,還原入侵事故過程,同時給出解決方案與防範措施,為企業挽回或減少經濟損失。
常見的應急響應事件分類:
web入侵:網頁掛馬、主頁篡改、webshell
系統入侵:病毒木馬、勒索軟體、遠控後門
網路攻擊:ddos攻擊、dns劫持、arp欺騙
針對常見的攻擊事件,結合工作中應急響應事件分析和解決的方法,總結了一些window伺服器入侵排查的思路。
2、檢視伺服器是否存在可疑賬號、新增賬號。
3、檢視伺服器是否存在隱藏賬號、轉殖賬號。
4、結合日誌,檢視管理員登入時間、使用者名稱是否存在異常。
2、程序
沒有描述資訊的程序
程序的屬主
程序的路徑是否合法
cpu或記憶體資源占用長時間過高的程序
三、檢查啟動項、計畫任務、服務
a、登入伺服器,單擊【開始】>【所有程式】>【啟動】,預設情況下此目錄在是乙個空目錄,確認是否有非業務程式在該目錄下。b、單擊開始選單 >【執行】,輸入 msconfig,檢視是否存在命名異常的啟動專案,是則取消勾選命名異常的啟動專案,並到命令中顯示的路徑刪除檔案。c、單擊【開始】>【執行】,輸入 regedit,開啟登錄檔,檢視開機啟動項是否正常,特別注意如下三個登錄檔項:hkey_current_user\software\micorsoft\windows\currentversion\runhkey_local_machine\software\microsoft\windows\currentversion\runhkey_local_machine\software\microsoft\windows\currentversion\runonce檢查右側是否有啟動異常的專案,如有請刪除,並建議安裝防毒軟體進行病毒查殺,清除殘留病毒或木馬。
d、利用安全軟體檢視啟動項、開機時間管理等。
e、組策略,執行gpedit.msc。
2、檢查計畫任務
a、單擊【開始】>【設定】>【控制面板】>【任務計畫】,檢視計畫任務屬性,便可以發現木馬檔案的路徑。
b、單擊【開始】>【執行】;輸入 cmd,然後輸入at,檢查計算機與網路上的其它計算機之間的會話或計畫任務,如有,則確認是否為正常連線。
3、服務自啟動
四、檢查系統相關資訊
2、查詢可疑目錄及檔案
五、自動化查殺
webshell查殺
六、日誌分析
web訪問日誌
最後
應急響應之window入侵排查
當企業發生黑客入侵 系統崩潰或其它影響業務正常執行的安全事件時,急需第一時間進行處理,使企業的網路資訊系統在最短時間內恢復正常工作,進一步查詢入侵 還原入侵事故過程,同時給出解決方案與防範措施,為企業挽回或減少經濟損失。常見的應急響應事件分類 web入侵 網頁掛馬 主頁篡改 webshell 系統入...
Windows 入侵排查
當企業發生黑客入侵 系統崩潰或其它影響業務正常執行的安全事件時,急需第一時間進行處理,使企業的網路資訊系統在最短時間內恢復正常工作,進一步查詢入侵 還原入侵事故過程,同時給出解決方案與防範措施,為企業挽回或減少經濟損失。常見的應急響應事件分類 web 入侵 網頁掛馬 主頁篡改 webshell 系統...
1 Web安全 linux下應急響應(入侵排查)
應急響應通常是在當伺服器被黑客入侵後,我們需要對入侵事件進行系統的溯源和排查。主要思路就是先對入侵事件分類,然後進一步對伺服器進行排查,清理木馬病毒以及留下的後門程式,分析黑客的入侵方式並修復漏洞,確保伺服器的正常執行。第一步就是登入伺服器排查歷史命令記錄,分析黑客在伺服器進行了哪些操作,明確下一步...