應急響應，從懵懂到入門應急響應的形式遠程應急響應服務本地應急響應服務應急分類網(wǎng)站入侵應急主機入侵應急互相傷害網(wǎng)站篡改網(wǎng)站癱瘓頁面掛馬…木后門攻擊異常登陸…事件分類Web入侵：掛馬、篡改、Webshell系統(tǒng)入侵：系統(tǒng)異常、RDP爆破、SSH爆破、主機漏洞病毒木馬：遠控、后門、勒索軟件信息泄漏：刷庫、數(shù)據(jù)庫登錄（弱口令）網(wǎng)絡流量：頻繁發(fā)包、批量請求、DDOS攻擊應急響應一般流程事件發(fā)現(xiàn)定位分析恢復加固用戶報告管理檢測IDS報警其他方式信息核實證據(jù)取證定位問題攻擊分析恢復業(yè)務漏洞加固事件總結報告整理如何做應急響應確定攻擊時間查找攻擊線索梳理攻擊流程實施解決方案定位攻擊者入侵信息核實明確入侵跟蹤事件發(fā)現(xiàn)人了解事件發(fā)生特性核實網(wǎng)絡結構或系統(tǒng)框架確定事件發(fā)生時間知悉事件發(fā)生后處理辦法記錄相關人員聯(lián)系方法重要的事情要說三遍三遍三遍三遍三遍三遍三遍三遍排查思路文件分析文件日期、新增文件、可疑/異常文件、最近使用文件、瀏覽器下載文件Webshell排查與分析，核心應用關聯(lián)目錄文件分析進程分析當前活動進程&遠程連接，啟動進程&計劃任務，服務服務系統(tǒng)信息環(huán)境變量/賬號信息/History/系統(tǒng)配置文件日志分析操作系統(tǒng)日志數(shù)據(jù)收集查看賬戶信息檢查補丁情況查看系統(tǒng)日志查看注冊表/服務（Win）查看用戶連接狀況查看賬戶登錄狀況搜索近期修改文件查看網(wǎng)站日志檢查數(shù)據(jù)庫修改情況查看進程檢查防護設備日志netusercat/etc/passwdSysteminfouname-a

運行-eventvwr運行-regedit/services.mscnetstatnetstat

quserwho/last

用眼睛/工具（lchangedfiles）find/-ctime-1-print

應用服務log目錄應用服務log目錄

數(shù)據(jù)庫日志

任務管理器ps-aux

沒錯，就是查看它的日志/var/log/message系統(tǒng)啟動后的信息和錯誤日志，/var/log/secure與安全相關的日志信息/var/log/maillog與郵件相關的日志信息/var/log/cron與定時任務相關的日志信息/var/log/spoolerUUCP和news設備相關日志信息/var/log/boot.log進程啟動和停止相關的日志消息.bash_history命令行歷史記錄信息收集留意1.在查詢用戶的過程中要留意隱藏賬戶的信息

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names2.判斷是否為惡意進程或者服務部分可通過描述或者發(fā)布者進行判斷VFsec應用系統(tǒng)類Apache、tomcat、Nginx、IIS的Web日志類無論任何web服務器其實日志需要關注的東西是一致的，即access_log和error_log。MysqlMSSQL數(shù)據(jù)庫類檢查mysql\lib\plugin目錄沒有發(fā)現(xiàn)異常文件（參考UDF提權）Mysql:select*frommysql.funcMSSQL，檢查xp_cmdshell等存儲過程正常與否VFsec應用類

在對WEB日志進行安全分析時，按照下面兩種思路展開逐步深入，還原整個攻擊過程。一.確定攻擊范圍二.確定特征文件Windows下常用的工具工具主要功能PCHunter/火絨劍可查看進程、內(nèi)核、服務等Dos命令查看信息wireshark分析數(shù)據(jù)流量日志安全分析工具日志安全分析工具能夠對日志進行安全分析，可快速從日志中發(fā)現(xiàn)可疑的惡意攻擊行為D盾/河馬/殺毒軟件可以檢查服務器指定目錄中可能存在的Webshell文件以及惡意文件指定漏洞的檢測工具Linux下常用的工具工具主要功能Dos命令查看信息Chkrootkit/rootkithunter查找檢測rootkit后門的工具Grep/find命令查找一句話木馬（<?phpeval($_post[cmd]);?>假設網(wǎng)站的目錄為/app/website/，我們需要查看該目錄下是否包含該形式的一句話木：方法1：$grep-i–reval\(\$_post/app/website/*

其中-i表示不區(qū)分大小寫，-r表示搜索指定目錄及其子目錄方法2:$find/app/website/-typef|xargsgrepeval\(\$_post

xargs將find搜索出的文件名稱變成grep后面需要的參數(shù)數(shù)據(jù)分析

針對收集到的賬戶信息、文件修改情況、系統(tǒng)日志、網(wǎng)站日志等進行綜合分析和歸納，確認是否存在以下情況：系統(tǒng)含有非法賬號系統(tǒng)中含有異常服務程序系統(tǒng)部分文件被篡改，或發(fā)現(xiàn)有新的文件系統(tǒng)安全日志中有非正常登陸情況網(wǎng)站日志中有非授權地址訪問管理頁面記錄數(shù)據(jù)分析通過異常文件的創(chuàng)建和修改時間，一般可以判斷攻擊者對網(wǎng)站進行入侵的時間段；對異常服務或進程的追蹤，可以查找惡意文件，確認攻擊后的后門，以及攻擊時間；網(wǎng)站目錄下的異常文件，對判斷攻擊手段具有參考意義；網(wǎng)站訪問日志可以對攻擊手段、時間和攻擊源地址的追蹤提供有力的證據(jù)。系統(tǒng)安全日志中的登錄信息同樣可以用于判斷攻擊者來源。實戰(zhàn)操作幾個第一個栗子接到某客戶通知，一臺主機遭到入侵，并且安裝惡意軟件，該IP地址為37，不停的向國內(nèi)某一IP進行DDOS攻擊。并且在網(wǎng)站目錄存放了攻擊工具第一個栗子首先檢查了目標的是否存在惡意進程，服務，啟動項，無影響，在用戶信息發(fā)現(xiàn)情況，發(fā)現(xiàn)一個可疑用戶administratorr用戶。第一個栗子接下來檢測目標機器開放端口的情況，發(fā)現(xiàn)該機器開放了3389端口。第一個栗子檢查windows安全日志，發(fā)現(xiàn)12點42分在登陸日志上發(fā)現(xiàn)存在暴力破解行為。于2點10分成功登陸到administrator用戶。第一個栗子同時進行了添加用戶的操作，加入管理員組，并進行了新用戶登錄。第一個栗子在行為管理器的日志上查看，通過新創(chuàng)建的用戶，P2P遠程下載了攻擊軟件.第二個栗子接到某客戶通知，他們遭到了入侵，并且被刪除了一組數(shù)據(jù)，相關的數(shù)據(jù)庫日志等等進行了清除處理。IP：00測試環(huán)境IP：00核心部署環(huán)境隔離隔離SSHSSH數(shù)據(jù)刪除第二個栗子現(xiàn)有證據(jù)，存在secure.log，日志顯示上，攻擊為如下SSHSSH第二個栗子IP：00測試環(huán)境IP：00核心部署環(huán)境隔離隔離SSHSSH數(shù)據(jù)刪除我們有策略，外網(wǎng)無法ssh內(nèi)網(wǎng)，1網(wǎng)段無法ssh2網(wǎng)段是不是外網(wǎng)入侵，內(nèi)網(wǎng)滲透提權啥的第二個栗子從外某著名企業(yè)過SSH連接到測試服務器機器，在通過SSH連接到部署服務器機器，在測試服務器上的.history記錄上發(fā)現(xiàn)了通過ssh的情況，證實他們說的有問題。所以，這次只是一個服務策略沒做好。的一個通過ssh從外連接，在二次ssh連接到指定機器進行操作第二個栗子其中的連接外網(wǎng)連接IP為，時間發(fā)生在9點28分，成功接入。通過secure的連接日志，發(fā)現(xiàn)登陸用戶均為sxit用戶，據(jù)了解。這是他們該應用系統(tǒng)的第三方外包開發(fā)使用的管理賬號，而且是硬編碼弱密碼寫在代碼里面的。第二個栗子同時也檢查了VPN的連接日志，發(fā)現(xiàn)在8點53分曾經(jīng)嘗試通過VPN登陸。不過登錄失敗，之后9點28分通過ssh連接。Vpn登錄失敗的用戶名正是外包開發(fā)人員。但是vpn賬戶在開發(fā)結束后就撤銷了。第二個栗子經(jīng)濟糾紛總結一下順藤摸瓜足夠溝通證據(jù)斷事THANKS!看數(shù)字化解決方案微信個碼）：每日分享數(shù)字化領域高質量專業(yè)的解決方案，內(nèi)容囊括某省市、數(shù)字政某省市大腦、一網(wǎng)統(tǒng)管、社會治理、某省市、一某著名企業(yè)辦、政務服務、智慧園區(qū)、智慧社區(qū)、數(shù)字鄉(xiāng)村、智慧林業(yè)、智慧公安、智慧政法、智慧監(jiān)獄、智慧文化建設、智慧水務、智慧水利、智慧管廊、智慧城管、智慧應急、智慧消防、智慧人防、數(shù)據(jù)要素、政務大數(shù)據(jù)、政務云、國產(chǎn)信創(chuàng)等領域，共享行業(yè)售前方案、設計方案、技術方案和項目信息等。資料匯總，持續(xù)更新（掃第2個碼）：可獲取【數(shù)字化解決方案】知識星球資料匯總（持續(xù)更新，建議收藏）成為知識星球會員（掃第3個碼）：可下載該星球上所有資料（注：所有資料均通過互聯(lián)網(wǎng)等公開渠道獲取，個人學習使用，會員