xfeng's blog
文章 标签 分类 关于 书架
xfeng's blog

目录

应急响应

 收录于 应急响应
   约 1220 字   预计阅读 3 分钟   次阅读

1. Windows应急响应

1.1 文件分析

1.1.1 开机启动项

检查Windows的启动菜单

1

C:\\Users\\%username%\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup

https://prod-files-secure.s3.us-west-2.amazonaws.com/e06f7215-8a35-4590-b3e9-0d6bff059c72/c8716612-7222-406d-b272-6275d2d95c25/Untitled.png?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Content-Sha256=UNSIGNED-PAYLOAD&X-Amz-Credential=AKIAT73L2G45FSPPWI6X%2F20250102%2Fus-west-2%2Fs3%2Faws4_request&X-Amz-Date=20250102T111652Z&X-Amz-Expires=3600&X-Amz-Signature=b8d2e647d1466aad7439bb4e8dbb57ec0b18f20227bd5d61c4b0117894f82a44&X-Amz-SignedHeaders=host&x-id=GetObject

1.1.2 tmp临时文件

在运行窗口中,输入 %tmp%,直接打开临时文件夹

查看该文件夹下是否有可疑文件(exe、dll、sys)

https://prod-files-secure.s3.us-west-2.amazonaws.com/e06f7215-8a35-4590-b3e9-0d6bff059c72/d9aad98a-c93d-4252-b10f-fac429c2f551/Untitled.png?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Content-Sha256=UNSIGNED-PAYLOAD&X-Amz-Credential=AKIAT73L2G45FSPPWI6X%2F20250102%2Fus-west-2%2Fs3%2Faws4_request&X-Amz-Date=20250102T111652Z&X-Amz-Expires=3600&X-Amz-Signature=f77360b31777c0fd6f7b1eb786c7882a9796b974655968c46e1f5544ec3ec0a9&X-Amz-SignedHeaders=host&x-id=GetObject

1.1.3 浏览器历史记录

使用工具

1.1.4 文件属性

检查文件的创建时间、修改时间、访问时间(默认情况下禁用)默认情况下,计算机是以修改时间作为展示

1.1.5 最近打开的文件

在运行窗口中,输入 %UserProfile%\\Recent,直接打开最近使用的文件

https://prod-files-secure.s3.us-west-2.amazonaws.com/e06f7215-8a35-4590-b3e9-0d6bff059c72/276c5241-982c-423b-98e2-b047b891c8e2/Untitled.png?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Content-Sha256=UNSIGNED-PAYLOAD&X-Amz-Credential=AKIAT73L2G45FSPPWI6X%2F20250102%2Fus-west-2%2Fs3%2Faws4_request&X-Amz-Date=20250102T111652Z&X-Amz-Expires=3600&X-Amz-Signature=6564be7bdd08c21493f8c11517cb819eab94285b730a1f5d414a65dd6225d656&X-Amz-SignedHeaders=host&x-id=GetObject

1.2 账号安全

1.2.1 可疑账号,新增账号

打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉

1.2.2 隐藏账号,克隆账号

  • 打开注册表 ,查看管理员对应键值
  • 使用D盾_web查杀工具,集成了对克隆账号检测的功能

1.2.3 登录日志

Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”

https://prod-files-secure.s3.us-west-2.amazonaws.com/e06f7215-8a35-4590-b3e9-0d6bff059c72/7a849a6e-a44b-4b69-809b-da31fd86d07f/Untitled.png?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Content-Sha256=UNSIGNED-PAYLOAD&X-Amz-Credential=AKIAT73L2G45FSPPWI6X%2F20250102%2Fus-west-2%2Fs3%2Faws4_request&X-Amz-Date=20250102T111652Z&X-Amz-Expires=3600&X-Amz-Signature=7b78462c97c854d75f8d917bf67f32f7e12bc3d1e6f16869093c640f16dacc3c&X-Amz-SignedHeaders=host&x-id=GetObject

  • 4624:账户成功登录
  • 4648:使用明文凭证尝试登录
  • 4778:重新连接到一台 Windows 主机的会话
  • 4779:断开到一台 Windows 主机的会话

https://prod-files-secure.s3.us-west-2.amazonaws.com/e06f7215-8a35-4590-b3e9-0d6bff059c72/69b519f0-b0bf-4237-af21-3199782acb8c/Untitled.png?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Content-Sha256=UNSIGNED-PAYLOAD&X-Amz-Credential=AKIAT73L2G45FSPPWI6X%2F20250102%2Fus-west-2%2Fs3%2Faws4_request&X-Amz-Date=20250102T111652Z&X-Amz-Expires=3600&X-Amz-Signature=a5b33f296fd5ccf30b5505011e58481147672636354f9303f94a19cf5b8c6b0e&X-Amz-SignedHeaders=host&x-id=GetObject

1.3 端口进程

1.3.1 端口

检查端口连接情况,是否有远程连接、可疑连接

  • netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED
  • 根据netstat 定位出的pid,再通过tasklist命令进行进程定位

1.3.2 进程

通过微软官方提供的 Process Explorer 等工具进行排查

1.3.3 计划任务

https://prod-files-secure.s3.us-west-2.amazonaws.com/e06f7215-8a35-4590-b3e9-0d6bff059c72/96c41418-0576-4b89-896a-5dc49139a74a/Untitled.png?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Content-Sha256=UNSIGNED-PAYLOAD&X-Amz-Credential=AKIAT73L2G45FSPPWI6X%2F20250102%2Fus-west-2%2Fs3%2Faws4_request&X-Amz-Date=20250102T111652Z&X-Amz-Expires=3600&X-Amz-Signature=b03024a4647c8c7ee4e55689db04e24b303316bff243593e80358514a2d56190&X-Amz-SignedHeaders=host&x-id=GetObject

https://prod-files-secure.s3.us-west-2.amazonaws.com/e06f7215-8a35-4590-b3e9-0d6bff059c72/e678b5ad-1de0-425a-a961-cc75ec368c76/Untitled.png?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Content-Sha256=UNSIGNED-PAYLOAD&X-Amz-Credential=AKIAT73L2G45FSPPWI6X%2F20250102%2Fus-west-2%2Fs3%2Faws4_request&X-Amz-Date=20250102T111652Z&X-Amz-Expires=3600&X-Amz-Signature=567200bfd783fffd01d5ea13c8fc8b1526d03e4c9148d37780519a72a953d913&X-Amz-SignedHeaders=host&x-id=GetObject

1.4 webshell查杀

常见工具:D 盾

2. Linux应急响应

2.1 文件分析

/tmp 是一个特别的临时目录文件,每个用户都可以对它进行读写操作

2.2 账号安全

用 户 信 息 文 件 /etc/passwd

  • root:x:0:0:root:/root:/bin/bash account:password:UID:GID:GECOS:directory:shell
  • 用 户 名 : 密 码 : 用 户 ID: 组 ID: 用 户 说 明 : 家 目 录 : 登 陆 之 后 shell 注 意 : 无 密 码 只 允 许 本 机 登 陆 , 远 程 不 允 许 登 陆

影 子 文 件 /etc/shadow

  • root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqw NVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
  • 用 户 名 : 加 密 密 码 : 密 码 最 后 一 次 修 改 日 期 : 两 次 密 码 的 修 改 时 间 间 隔 : 密 码 有 效 期 : 密 码 修 改 到 期 到 的 警 告 天 数 : 密 码 过 期 之 后 的 宽 限 天 数 : 账 号 失 效 时 间 : 保 留

几个常用命令

1
2
3

who 查 看 当 前 登 录 用 户 ( tty 本 地 登 陆 pts 远 程 登 录 )
w 查 看 系 统 信 息 , 想 知 道 某 一 时 刻 用 户 的 行 为
uptime 查 看 登 陆 多 久 、 多 少 用 户 , 负 载

入侵排查

  • 查 询 特 权 用 户 (uid 为 0)

    1

    awk -F: '$3==0{print $1}' /etc/passwd

  • 查 询 可 以 远 程 登 录 的 帐 号 信 息

    1

    awk '/$1|$6/{print $1}' /etc/shadow

  • 除 root 帐 号 外 , 其 他 帐 号 是 否 存 在 sudo 权 限 。 如 非 管 理 需 要 , 普 通 帐 号 应 删 除 sudo 权 限

    1

    more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)"

  • 禁 用 或 删 除 多 余 及 可 疑 的 帐 号

    1
2
3

    usermod -L user 禁 用 帐 号 , 帐 号 无 法 登 录 , /etc/shadow 第 二 栏为 ! 开 头
userdel user 删 除 user 用 户
userdel -r user 将 删 除 user 用 户 , 并 且 将 /home 目 录 下 的 user目 录 一 并 删 除

2.3 端口进程

1、使 用 netstat 网 络 连 接 命 令 , 分 析 可 疑 端 口 、 IP、 PID

1

netstat - antlp | more

2、查 看 下 pid 所 对 应 的 进 程 文 件 路 径

1

运 行 ls -l /proc/$PID/exe 或 file /proc/$PID/exe( $PID为 对 应 的 pid 号 )

3、使 用 ps 命 令 , 分 析 进 程

1

p s aux | grep  pid

2.4 历史命令

在 Linux 系统中默认会记录之前执行的命令 /root/bash history 文件中。

用户可以使用 cat /root/.bash_history 进行查看或者使用 history 命令进行查看

2.5 环境变量

环境变量决定了 shell 将到哪些目录中寻找命令或程序,PATH 的值是一系列目录

https://prod-files-secure.s3.us-west-2.amazonaws.com/e06f7215-8a35-4590-b3e9-0d6bff059c72/3ab31deb-660f-4434-a0bf-6af3b962a882/Untitled.png?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Content-Sha256=UNSIGNED-PAYLOAD&X-Amz-Credential=AKIAT73L2G45FSPPWI6X%2F20250102%2Fus-west-2%2Fs3%2Faws4_request&X-Amz-Date=20250102T111652Z&X-Amz-Expires=3600&X-Amz-Signature=cf6792be564cdcfcbb7f6b16ac0927ad886de21b5588613b730a7fb748a3e24d&X-Amz-SignedHeaders=host&x-id=GetObject

2.6 后门排查

工具-rkhunter

更新于 2024-08-14
阅读原始文档
 应急响应
返回 | 主页