當企業發生黑客入侵、系統崩潰或其它影響業務正常執行的安全事件時,急需第一時間進行處理,使企業的網路資訊系統在最短時間內恢復正常工作,進一步查詢入侵**,還原入侵事故過程,同時給出解決方案與防範措施,為企業挽回或減少經濟損失。
常見的應急響應事件分類:
web入侵:網頁掛馬、主頁篡改、webshell
系統入侵:病毒木馬、勒索軟體、遠控後門
網路攻擊:ddos攻擊、dns劫持、arp欺騙
針對常見的攻擊事件,結合工作中應急響應事件分析和解決的方法,總結了一些window伺服器入侵排查的思路。
1、檢視伺服器是否有弱口令,遠端管理埠是否對公網開放。
檢查方法:
a、開啟登錄檔 ,檢視管理員對應鍵值。
b、使用d盾_web查殺工具,整合了對轉殖賬號檢測的功能。
4、結合日誌,檢視管理員登入時間、使用者名稱是否存在異常。
檢查方法:
a、win+r開啟執行,輸入「eventvwr.msc」,回車執行,開啟「事件檢視器」。
b、匯出windows日誌–安全,利用log parser進行分析。
1、檢查埠連線情況,是否有遠端連線、可疑連線。
2、程序
3、小技巧:
a、檢視埠對應的pid: netstat -ano | findstr 「port」
b、檢視程序對應的pid:任務管理器–檢視–選擇列–pid 或者 tasklist | findstr 「pid」
c、檢視程序對應的程式位置:
任務管理器–選擇對應程序–右鍵開啟檔案位置
執行輸入 wmic,cmd介面 輸入 process
d、tasklist /svc 程序–pid–服務
e、檢視windows服務所對應的埠:
%system%/system32/drivers/etc/services(一般%system%就是c:\windows)
1、檢查伺服器是否有異常的啟動項。
2、檢查計畫任務
3、服務自啟動
1、檢視系統版本以及補丁資訊
2、查詢可疑目錄及檔案
3、得到發現webshell、遠控木馬的建立時間,如何找出同一時間範圍內建立的檔案?
a、利用 registry workshop 登錄檔編輯器的搜尋功能,可以找到最後寫入時間區間的檔案。
b、利用計算機自帶檔案搜尋功能,指定修改時間進行搜尋。
webshell查殺
系統日誌
web訪問日誌
pchunter:
火絨劍:
process explorer:
processhacker:
autoruns:
otl:
sysinspector:
火絨安全軟體:
360防毒:
cverc-國家計算機病毒應急處理中心:
火絨安全論壇:
愛毒霸社群:
//jotti惡意軟體掃瞄系統
//針對計算機病毒、手機病毒、可疑檔案等進行檢測分析
d盾_web查殺:
河馬webshell查殺:
safe3:
windows應急響應入侵排查思路
當企業發生黑客入侵 系統崩潰或其它影響業務正常執行的安全事件時,急需第一時間進行處理,使企業的網路資訊系統在最短時間內恢復正常工作,進一步查詢入侵 還原入侵事故過程,同時給出解決方案與防範措施,為企業挽回或減少經濟損失。常見的應急響應事件分類 web入侵 網頁掛馬 主頁篡改 webshell 系統入...
1 Web安全 linux下應急響應(入侵排查)
應急響應通常是在當伺服器被黑客入侵後,我們需要對入侵事件進行系統的溯源和排查。主要思路就是先對入侵事件分類,然後進一步對伺服器進行排查,清理木馬病毒以及留下的後門程式,分析黑客的入侵方式並修復漏洞,確保伺服器的正常執行。第一步就是登入伺服器排查歷史命令記錄,分析黑客在伺服器進行了哪些操作,明確下一步...
Window應急響應(四) 挖礦病毒
隨著虛擬貨幣的瘋狂炒作,挖礦病毒已經成為不法分子利用最為頻繁的攻擊方式之一。病毒傳播者可以利用個人電腦或伺服器進行挖礦,具體現象為電腦cpu佔用率高,c盤可使用空間驟降,電腦溫度公升高,風扇雜訊增大等問題。某天上午重啟伺服器的時候,發現程式啟動很慢,開啟任務管理器,發現cpu被占用接近100 伺服器...