ICode9

精准搜索请尝试: 精确搜索
首页 > 其他分享> 文章详细

应急响应

2022-03-06 20:01:29  阅读:203  来源: 互联网

标签:文件 查看 etc apache2 响应 Linux 开机 应急


windows 应急响应 文件分析
一 分析开机启动文件
其中1.利用操作系统中的启动菜单 2.利用系统配置msconfig 3.利用注册表regedit (run)
二 temp临时异常文件分析(temp文件权限高 速度快) 所以运行输入%temp%,查看temp文件发现PE文件(exe,dll,sys),或者是否有其他特别大的tmp文件.
三 恶意文件检测网站 https://www.virustotal.com/
四 浏览器查看历史记录,cookie信息或者其他异常信息
五 文件时间属性包含 创建 修改 访问时间,平时都是以修改时间作为展示,看修改时间有没有早于创建时间.
六 打开最近文件 win+r %UserProfile%\Recent,分析具体世界范围的文件

windows 应急响应 进程分析
一 计算机与外部网络通信是建立在TCP或UDP协议上的,并且每一次通信都是具有不同的端口。如果计算机被放置木马后,肯定会与外部网络通信,那么此时就可以通过查看网络连接状态,找到对应的进程ID,然后关闭进程ID就可以关闭连接状态.
netstat -ano | find “ESTABLISHED”
tasklist /svc | find "PID" 查看具体PID进程对应的程序(任务管理器详细信息查看服务)
taskkill / PID pid值 /T 关闭进程 (加/F可以强行终止)

二 计划任务 命令行at schtasks.exe 或者 任务计划程序(可视化)

三 隐藏账号删除 隐藏账号的创建 net user test$ 123456 /add 加入到管理员用户组 net localgroup administrators test$ /add,在命令行终端 net user是无法找到此用户的,需要在计算机管理本地用户和组处删除.当然也有在终端或命令行都无法找到的设置,在win2003中使用工具HideAdmin.exe test$ 123456即可在注册表创建改用户.

恶意进程分析(挖矿或其他恶意行为)
对于可执行程序可以直接使用杀毒软件进行查杀,但是并非所有的恶意程序进行查杀.此时可以使用工具psexplore,然后使用virustotal.com进行分析.

systemifo:查询系统基本信息,以及打的一些补丁.

网站webshell的发现,工具进行扫描D盾,安全狗等安全产品.

Linux 应急响应

文件分析 - 敏感文件信息
Linux系统下一切都是文件,其中/tmp是一个特别的临时目录文件。每个用户都可以对它进行读写操作。因此一个普通用户也可以对/tmp目录执行读写操作.所以平时要多注意tmp文件下的文件
查看开机启动项内容 /etc/init.d/,恶意代码很有可能设置在开机自启动的位置,查看指定目录下文件时间顺序的排序:ls -alt | head -n 10 筛选出最新添加进去的10个内容 stat apache2 查看apache2的文件属性,包括大小时间等
新增文件分析:查找24小时内被修改的文件 find ./ -mtime 0 -name "*.php",其中./是在当前路径下 -mtime(-ctime)为时间其中0加一乘24就是时间了,-name "查找出以php结尾的文件类型".这个时候筛选出来就需要看php文件代码.
权限查找:在linux系统先如果是777权限也是很可疑的 find ./ -iname "*.php" -perm 777 其中-iname忽略大小写,-perm设定筛选文件权限
进程分析 网络连接分析常用命令: netstat -pantl 查看处于tcp网络套接字相关信息.关闭未知连接 kill -9 pid 即可关闭
Linux中进程所对文件,在Linux中可以使用ps查看进程相关信息,使用ps aux 查看所有进程信息,使用ps aux | grep PID 筛选出具体PID的进程信息
Linux登录查看 使用命令 last -i | grep -v 0.0.0.0 去除本地登录,w命令是实时查看登录状态.
异常用户分析排查: 在linux上使用useradd text就可以创建text用户,cat /etc/passwd可以发现用户uid和pid都是1000以上的,使用vim将1000都修改为0,那么这个用户就成了root用户,可以使用命令grep"0:0" /etc/passwd,来看有没有异常用户.awk -F: '$2=="!" {print $1}' /etc/shadow 没有密码
历史命令分析history:在Linux系统中默认会记录之前执行的命令 /root/.bash_history文件中,可以通过cat /root/.bash_history进行查看或使用history命令进行查看注意命令wget(远程下载木马) ssh(连接内网)
计划任务排查crontab:在Linux系统中可以使用命令crontab进行计划任务的设定,其中crontab -l 查看计划任务,crontab -e 编辑计划任务 crontab -r 用来删除计划任务
开机自启动项:查看开机启动项内容 /etc/init.d/,假设查看开机自启动的apache2状态,/etc/init.d/apache2 status,开启apache2 后面接start,停止stop,设置为开机自启动命令为update-rc.d apache2 disable 取消apache2的开机启动,enable开启开机启动.
$PATH变量异常:决定了shell将到那些目录中寻找命令或程序,PATH的值是一系列目录,当你运行一个程序时,Linux在这些目录进行搜寻编译链接.如ls cd,修改PATH 命令: export PATH=$PATH:/usr/locar/new/bin 本次终端中有效,重启后无效。在/etc/profile或/home/.bashrc (source~/.bashrc)才能永久生效.
后面排查-rkhunter Rkhunter具有以下功能:1.系统命令检测,MD5校验 2.Rookit检测 3.本机敏感目录,系统配置异常检测 安装:apt install rkhunter 基本使用:rkhunter --check --sk 自动检测

 

标签:文件,查看,etc,apache2,响应,Linux,开机,应急
来源: https://www.cnblogs.com/Pojian/p/15973186.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有