应急响应

分类

应急响应根据平台划分，可以分为Windows、Linux平台，但是根据事件类型分析，种类繁多，根据目前遇到的应急事件，简单分为：

• 系统入侵：弱口令、主机漏洞
• web入侵：篡改、webshell
• 病毒木马：挖矿病毒、勒索病毒、后门、蠕虫
• 网络攻击：DDOS攻击、频繁发包、批量请求

思路

一、收集信息

首先根据报警设备（IDS、态势感知、EDR等），查询首先产生报警的时间，以及详情。有时需要了解报警设备的触发规则，方便对事件性质进行判断。

根据报警设备锁定需要排查的一台或者多台机器。与客户进行沟通，得到机器中运行的系统详情、启用服务等信息。

二、接触服务器

1、查看端口情况

接触到服务器之后，首先应该查询端口情况。

Windows

• netstat -ano 查看目前的网络连接，定位可疑的ESTABLISHED，得到可疑PID。

• tasklist | findstr "PID" or tasklist /svc | findstr "PID"查看PID对应的进程

• dir /s ****(文件)查找进程文件所在位置

• netstat -ano | findstr "port" 查看端口对应的PID

• 使用Process Hacker工具进行查看可疑进程、服务

• 分析进程参数：wmic process get caption,commandline /value >> tmp.txt

• 在 windows 下查看某个运行程序（或进程）的命令行参数，使用下面的命令：wmic process get caption,commandline /value

• 如果想查询某一个进程的命令行参数，使用下列方式：
  wmic process where caption="****.exe" get caption,commandline /value

Linux

使用netstat 网络连接命令，分析可疑端口、IP、PID

• netstat -antlp|more 查看下pid所对应的进程文件路径

• ls -l /proc/PID/exe or file /proc/PID/exe(PID 为对应的pid 号)查看下pid所对应的进程文件路径

• ps aux | grep pid分析进程

在端口情况查看时，留意特殊端口，例如Windows中的445、3389等端口，Linux中的22、21、23等常用端口。注意这些常用端口的连接情况。留意外网ip对这些常用端口的连接。如果遇到挖矿应急响应，需要尤其注意 7777、8888等有规律端口（其端口有可能用来服务器连接矿池）。

2、查看系统账户安全

检查完毕端口情况之后，需要对系统账户进行排查。

Windows

• 查看服务器是否有弱口令，远程管理端口是否对公网开放。

检查方法: 据实际情况咨询相关服务器管理员。 

• 查看服务器是否存在可疑账号、新增账号。

检查方法: 使用lusrmgr.msc命令，查看是否有新增/可疑的账号，如有管理员群组的(Administrators)里的新增账户。或者net user命令。

• 查看服务器是否存在隐藏账号、克隆账号。

检查方法:
a、打开注册表 ，查看管理员对应键值。
b、使用D盾_web查杀工具，集成了对克隆账号检测的功能。

Linux

• 查看服务器是否有弱口令，远程管理端口是否对公网开放

检查方法: 据实际情况咨询相关服务器管理员。

• 查看服务器是否存在可疑账号、新增账号

检查方法: 
a、用户信息文件/etc/passwd
root:x:0:0:root:/root:/bin/bash
account:password:UID:GID:GECOS:directory:shell
用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell
注意:无密码只允许本机登陆，远程不允许登陆

b、影子文件/etc/shadow
root:oGs1PqhL2p3ZetrE:16809:0:99999:7:::
用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期的警告天数:密码过期之后的宽限天数:账号失效时间:保留

• 查看当前登录账户

who 查看当前登录账户(tty本地登陆 pts远程登录)
w 查看系统信息，想知道某一时刻账户的行为
uptime 查看登陆多久、多少账户，负载

• 查看账户特权

1、查询特权账户(uid 为0)

awk -F: '$3==0{print $1}' /etc/passwd

2、查询可以远程登录的帐号信息

awk '/\$1|\$6/{print $1}' /etc/shadow

3、除root帐号外，其他帐号是否存在sudo权限。如非管理需要，普通帐号应删除sudo权限

more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

4、禁用或删除多余及可疑的帐号

usermod -L user 禁用帐号，帐号无法登录，/etc/shadow第二栏为!开头

userdel user 删除user用户

userdel -r user 将删除user用户，并且将/home目录下的user目录一并删除

3、检查启动项、计划任务、服务

Windows

• 检查服务器是否有异常的启动项

检查方法：
a、单击【开始】>【所有程序】>【启动】，默认情况下此目录在是一个空目录，确认是 否有非业务程序在该目录下。

b、单击开始菜单 >【运行】，输入 msconfig，查看是否存在命名异常的 启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。

c、单击【开始】 >【运行】，输入 regedit，打开注册表，查看开机启动项是否正常，特别注意如下三个注册表项: HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
检查右侧是否有启动异常的项目，如有请删除，并建议安装杀毒软件进行病毒查杀，清除残留病毒或木马。

d、使用autorun、Process Hacker等工具进行查看。

• 检查计划任务

检查方法:

a、单击【开始】>【设置】>【控制面板】>【任务计划】，查看计划任务属性，便可以发现木马文件 的路径。

b、单击【开始】>【运行】;输入 cmd，然后输入at，检查计算机与网络上的其它计算机之间的会话 或计划任务，如有，则确认是否为正常连接。

• 服务自启动

检查方法:

单击【开始】>【运行】，输入services.msc，注意服务状态和启动类型，检查是否有异常服务。

Linux

• 开机启动项

开机启动配置文件

/etc/rc[0~6].d

例子:当我们需要开机启动自己的脚本时，只需要将可执行脚本丢在/etc/init.d目录下，然后在/etc/rc.d/rc*.d中建立软 链接即可

root@localhost ~]# ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100ssh

此处sshd是具体服务的脚本文件，S100ssh是其软链接，S开头代表加载时自启动;如果是K开头的脚本文件，代表运行级别加载时需要关闭的。

检查方法：ls -l /etc/rc[0~6].d

• 定时任务

crontab -l 列出某个用户cron服务的详细内容

crontab -r 删除每个用户cront任务(谨慎:删除所有的计划任务)

crontab -e 使用编辑器编辑当前的crontab文件

4、查看日志

Windows

• 系统日志

分析方法:
a、前提:开启审核策略，若日后系统出现故障、安全事故则可以查看系统的日志文件，排除故障，追查入侵者的信息等。
b、Win+R打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”。
c、导出应用程序日志、安全日志、系统日志，利用Log Parser进行分析。

• 安全日志

安全日志包含诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，如创建、打开或删除文件或其他对象。管理员可以指定在安全日志中记录什么事件。例如，如果已启用登录审核，则安全日志将记录对系统的登录尝试。

安全日志登录部分的事件 ID 和登录类型代码的含义

• 应用程序和服务日志

应用程序和服务日志是一种新类别的事件日志。这些日志存储来自单个应用程序或组件的事件，而非可能影响整个系统的事件。

查看PowerShell日志

Microsoft->Windows->PowerShell->OPtions

查看远程连接日志

应用程序和服务日志->Microsoft->Windows->TerminalServices->RemoteConnectionManager->Operational

远程连接日志事件ID和含义

• WEB访问日志

分析方法:
a、找到中间件的web日志，打包到本地方便进行分析。
b、推荐用 EmEditor 进行日志分析，支持大文本，搜索效率还不错。

Linux

• 系统日志

日志默认存放位置:/var/log/
查看日志配置情况:more /etc/rsyslog.conf

• web日志

查一句话木马
grep -i -r "eval(\$_post" /path/*

其中-i表示不区分大小写，-r表示搜索指定目录及其子目录

• 日志分析技巧

1、定位有多少IP在爆破主机的root帐号:
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort - nr | more

2、定位有哪些IP在爆破:
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\. (25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0- 4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

3、爆破用户名字典是什么?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print
"$1\n";}'|uniq -c|sort -nr

4、登录成功的IP有哪些:
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

5、登录成功的日期、用户名、IP:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

5、特殊技巧

Windows

• 检查系统相关信息

1、查看系统版本以及补丁信息

检查方法:单击【开始】>【运行】，输入systeminfo，查看系统信息

2、查找可疑目录及文件 检查方法:

a、查看用户目录，新建账号会在这个目录生成一个用户目录，查看是否有新建用户目录。
Window 2003 C:\Documents and Settings\
Window 2008R2 C:\Users\

b、单击【开始】>【运行】，输入%UserProfile%\Recent，分析最近打开可疑文件。

c、在服务器各个目录，可根据文件夹内文件列表时间进行排序，查找可疑文件。

• 连接无法建立，端口连接信息查询不到

通过更改hosts文件，将解析域名改为自己的vps，自己vps开启监听，即可连接。（该技巧，适用于对域名进行连接的方案）

• 查看防火墙配置

netsh firewall show all

Linux

• 历史命令

通过.bash_history查看帐号执行过的系统命令

历史操作命令的清除:history -c但此命令并不会清除保存在文件中的记录，因此需要手动删除.bash_profile文件中的记录。