網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與的指南.doc

學(xué)習(xí)好幫手 中國移動(dòng) 網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南 版 本 號 V 1 0 中國移動(dòng)通信有限責(zé)任公司 二零零四年十一月 學(xué)習(xí)好幫手 目 錄 前言前言 7 一 背景一 背景 7 二 適用范圍二 適用范圍 7 三 編制依三 編制依據(jù)據(jù) 7 四 閱讀對象四 閱讀對象 7 五 引用標(biāo)準(zhǔn)五 引用標(biāo)準(zhǔn) 8 六 縮略語六 縮略語 8 七 安全事件及分類七 安全事件及分類 8 八 安全事件應(yīng)急響應(yīng)八 安全事件應(yīng)急響應(yīng) 9 九 文檔內(nèi)容概述九 文檔內(nèi)容概述 11 1 準(zhǔn)備階段準(zhǔn)備階段 13 1 1 概述概述 13 1 1 1 準(zhǔn)備階段工作內(nèi)容 13 1 1 1 1 系統(tǒng)快照 13 1 1 1 2 應(yīng)急響應(yīng)工具包 14 1 1 2 準(zhǔn)備階段工作流程 14 1 1 3 準(zhǔn)備階段操作說明 15 1 2 主機(jī)和網(wǎng)絡(luò)設(shè)備安全初始化快照主機(jī)和網(wǎng)絡(luò)設(shè)備安全初始化快照 15 1 2 1 WINDOWS安全初始化快照 16 1 2 2 UNIX安全初始化快照 19 1 2 2 1 Solaris 安全初始化快照 19 1 2 3 網(wǎng)絡(luò)設(shè)備安全初始化快照 26 1 2 3 1 路由器安全初始化快照 26 1 2 4 數(shù)據(jù)庫安全初始化快照 27 1 2 4 1 Oracle 安全初始化快照 27 1 2 5 安全加固及系統(tǒng)備份 32 1 3 應(yīng)急響應(yīng)標(biāo)準(zhǔn)工作包的準(zhǔn)備應(yīng)急響應(yīng)標(biāo)準(zhǔn)工作包的準(zhǔn)備 32 1 3 1 WINDOWS系統(tǒng)應(yīng)急處理工作包 33 1 3 1 1 系統(tǒng)基本命令 33 1 3 1 2 其它工具軟件 33 1 3 2 UNIX系統(tǒng)應(yīng)急處理工作包 34 1 3 2 1 系統(tǒng)基本命令 34 1 3 2 2 其它工具軟件 34 1 3 3 ORACLE 數(shù)據(jù)庫應(yīng)急處理工具包 35 2 檢測階段檢測階段 36 學(xué)習(xí)好幫手 2 1 概述概述 36 2 1 1 檢測階段工作內(nèi)容 36 2 1 2 檢測階段工作流程 36 2 1 3 檢測階段操作說明 37 2 2 系統(tǒng)安全事件初步檢測方法系統(tǒng)安全事件初步檢測方法 37 2 2 1 WINDOWS系統(tǒng)檢測技術(shù)規(guī)范 37 2 2 1 1 Windows 服務(wù)器檢測技術(shù)規(guī)范 37 2 2 1 2 Windows 檢測典型案例 39 2 2 2 UNIX系統(tǒng)檢測技術(shù)規(guī)范 39 2 2 2 1 Solaris 系統(tǒng)檢測技術(shù)規(guī)范 39 2 2 2 2 Unix 檢測典型案例 40 2 3 系統(tǒng)安全事件高級檢測方法系統(tǒng)安全事件高級檢測方法 43 2 3 1 WINDOWS系統(tǒng)高級檢測技術(shù)規(guī)范 43 2 3 1 1 Windows 高級檢測技術(shù)規(guī)范 43 2 3 1 2 Windows 高級檢測技術(shù)案例 44 2 3 2 UNIX系統(tǒng)高級檢測技術(shù)規(guī)范 45 2 3 2 1 Solaris 高級檢測技術(shù)規(guī)范 45 2 3 2 2 Unix 高級檢測技術(shù)案例 48 2 4 網(wǎng)絡(luò)安全事件檢測方法網(wǎng)絡(luò)安全事件檢測方法 52 2 4 1 拒絕服務(wù)事件檢測方法 52 2 4 1 1 利用系統(tǒng)漏洞的拒絕服務(wù)攻擊檢測方法 52 2 4 1 2 利用網(wǎng)絡(luò)協(xié)議的拒絕服務(wù)攻擊檢測方法 52 2 4 2 網(wǎng)絡(luò)欺騙安全事件檢測方法 52 2 4 2 1 DNS 欺騙檢測規(guī)范及案例 52 2 4 2 2 WEB 欺騙檢測規(guī)范及案例 52 2 4 2 3 電子郵件欺騙檢測規(guī)范及案例 53 2 4 3 網(wǎng)絡(luò)竊聽安全事件檢測方法 54 2 4 3 1 共享環(huán)境下 SNIFFER 檢測規(guī)范及案例 54 2 4 3 2 交換環(huán)境下 SNIFFER 檢測規(guī)范及案例 55 2 4 4 口令猜測安全事件檢測方法 55 2 4 4 1 windows 系統(tǒng)檢測 56 2 4 4 2 UNIX 系統(tǒng)檢測 56 2 4 4 3 CISCO 路由器檢測 56 2 4 5 網(wǎng)絡(luò)異常流量特征檢測 57 2 4 5 1 網(wǎng)絡(luò)異常流量分析方法 57 2 5 數(shù)據(jù)庫安全事件檢測方法數(shù)據(jù)庫安全事件檢測方法 58 2 5 1 數(shù)據(jù)庫常見攻擊方法檢測 58 2 5 2 腳本安全事件檢測 58 2 5 2 1 SQL 注入攻擊檢測方法 58 2 5 2 2 SQL 注入攻擊案例 59 2 6 事件驅(qū)動(dòng)方式的安全檢測方法事件驅(qū)動(dòng)方式的安全檢測方法 59 2 6 1 日常例行檢查中發(fā)現(xiàn)安全事件的安全檢測方法 59 2 6 1 1 特點(diǎn) 59 2 6 1 2 人工檢測被入侵的前兆 59 學(xué)習(xí)好幫手 2 6 1 3 檢測的流程 60 2 6 2 事件驅(qū)動(dòng)的病毒安全檢測方法 61 2 6 2 1 特點(diǎn) 61 2 6 2 2 病毒檢測流程 62 2 6 2 3 防御計(jì)算機(jī)病毒措施 63 2 6 3 事件驅(qū)動(dòng)的入侵檢測安全檢測方法 63 2 6 3 1 特征 63 2 6 3 2 入侵檢測系統(tǒng)分為網(wǎng)絡(luò)型和主機(jī)型 63 2 6 3 3 入侵檢測流程 64 2 6 4 事件驅(qū)動(dòng)的防火墻安全檢測方法 64 2 6 4 1 特點(diǎn) 64 2 6 4 2 防火墻安全檢測流程 65 3 抑制和根除階段抑制和根除階段 67 3 1 概述概述 67 3 1 1 抑制和根除階段工作內(nèi)容 67 3 1 2 抑制和根除階段工作流程 67 3 1 3 抑制和根除階段操作說明 68 3 2 拒絕服務(wù)類攻擊抑制拒絕服務(wù)類攻擊抑制 69 3 2 1 SYN 和 ICMP 拒絕服務(wù)攻擊抑制和根除 69 3 2 1 1 SYN UDP FLOOD 拒絕服務(wù)攻擊抑制及根除 69 3 2 1 2 ICMP FLOOD 拒絕服務(wù)攻擊抑制及根除 69 3 2 2 系統(tǒng)漏洞拒絕服務(wù)抑制 70 3 2 2 1 WIN 系統(tǒng)漏洞拒絕服務(wù)攻擊抑制及根除 70 3 2 2 2 UNIX 系統(tǒng)漏洞拒絕服務(wù)攻擊抑制及根除 70 3 2 3 3 網(wǎng)絡(luò)設(shè)備 IOS 系統(tǒng)漏洞拒絕服務(wù)攻擊抑制 71 3 3 利用系統(tǒng)漏洞類攻擊抑制利用系統(tǒng)漏洞類攻擊抑制 71 3 3 1 系統(tǒng)配置漏洞類攻擊抑制 71 3 3 1 1 簡單口令攻擊類抑制 71 3 3 1 2 簡單口令攻擊類根除 71 3 3 2 系統(tǒng)程序漏洞類攻擊抑制 72 3 3 2 1 緩沖溢出攻擊類抑制 72 3 3 2 2 緩沖溢出攻擊類根除 72 3 4 網(wǎng)絡(luò)欺騙類攻擊抑制與根除網(wǎng)絡(luò)欺騙類攻擊抑制與根除 73 3 4 1 DNS 欺騙攻擊抑制與根除 73 3 4 2 電子郵件欺騙攻擊抑制與根除 73 3 4 2 1 電子郵件欺騙攻擊抑制 73 3 4 2 2 電子郵件欺騙攻擊根除 74 3 5 網(wǎng)絡(luò)竊聽類攻擊抑制及根除網(wǎng)絡(luò)竊聽類攻擊抑制及根除 74 3 5 1 共享環(huán)境下 SNIFFER 攻擊抑制及根除 74 3 5 1 1 共享環(huán)境下 SNIFFER 攻擊抑制及根除 74 3 5 2 交換環(huán)境下 SNIFFER 攻擊抑制 75 3 5 2 1 交換環(huán)境下 SNIFFER 攻擊抑制 75 學(xué)習(xí)好幫手 3 6 數(shù)據(jù)庫數(shù)據(jù)庫 SQL 注入類攻擊抑制與根除注入類攻擊抑制與根除 76 3 6 1 數(shù)據(jù)庫 SQL 注入類攻擊抑制與根除 76 3 6 1 1 對于動(dòng)態(tài)構(gòu)造 SQL 查詢的場合 可以使用下面的技術(shù) 76 3 6 1 2 用存儲過程來執(zhí)行所有的查詢 76 3 6 1 3 限制表單或查詢字符串輸入的長度 76 3 6 1 4 檢查用戶輸入的合法性 確信輸入的內(nèi)容只包含合法的數(shù)據(jù) 76 3 6 1 5 將用戶登錄名稱 密碼等數(shù)據(jù)加密保存 77 3 6 1 6 檢查提取數(shù)據(jù)的查詢所返回的記錄數(shù)量 77 3 6 1 7 Sql 注入并沒有根除辦法 77 3 7 惡意代碼攻擊抑制和根除惡意代碼攻擊抑制和根除 77 3 7 1 惡意代碼介紹 77 3 7 2 惡意代碼抑制和根除 77 3 7 2 1 惡意代碼抑制方法 77 3 7 2 2 惡意代碼根除方法 78 4 恢復(fù)階段恢復(fù)階段 79 4 1 1 恢復(fù)階段工作內(nèi)容 79 4 1 2 恢復(fù)階段工作流程 79 4 1 3 恢復(fù)階段操作說明 80 4 2 重裝系統(tǒng)重裝系統(tǒng) 80 4 2 1 重裝系統(tǒng)時(shí)的步驟 80 4 2 2 重裝系統(tǒng)時(shí)的注意事項(xiàng) 81 4 3 安全加固及系統(tǒng)初始化安全加固及系統(tǒng)初始化 81 4 3 1 系統(tǒng)安全加固和安全快照 81 4 3 1 1 安全加固 81 4 3 1 2 安全快照 81 5 跟進(jìn)階段跟進(jìn)階段 82 5 1 概述概述 82 5 1 1 跟進(jìn)階段工作內(nèi)容 82 5 1 2 跟進(jìn)階段工作流程 82 5 1 3 跟進(jìn)階段操作說明 83 5 2 跟進(jìn)階段的目的和意義跟進(jìn)階段的目的和意義 83 5 3 跟進(jìn)階段的報(bào)告內(nèi)容跟進(jìn)階段的報(bào)告內(nèi)容 83 6 取證流程和工具取證流程和工具 86 6 1 概述概述 86 6 2 操作說明操作說明 86 6 3 取證的重要規(guī)則取證的重要規(guī)則 86 6 4 取證流程取證流程 86 學(xué)習(xí)好幫手 6 5 取證工具取證工具 87 6 5 1 系統(tǒng)命令 87 6 5 2 商業(yè)軟件介紹 88 學(xué)習(xí)好幫手 前言 制定本文檔的目的是為中國移動(dòng)提供網(wǎng)絡(luò)與信息安全響應(yīng)工作的技術(shù)規(guī)范及指南 本規(guī)范含了一個(gè)關(guān)于安全攻防的具體技術(shù)內(nèi)容的附件 本文檔由中國移動(dòng)通信有限公司網(wǎng)絡(luò)部提出并歸口 解釋權(quán)歸屬于中國移動(dòng)通信有 限公司網(wǎng)絡(luò)部 本文檔起草單位 中國移動(dòng)通信有限公司網(wǎng)絡(luò)部 本文檔主要起草人 王新旺 蔡洗非 陳敏時(shí) 彭泉 劉小云 王亮 余曉敏 周 碧波 劉楠 謝朝霞 本文檔解釋單位 中國移動(dòng)通信有限公司網(wǎng)絡(luò)部 一 背景 隨著我國的互聯(lián)網(wǎng)絡(luò)迅猛發(fā)展 互聯(lián)網(wǎng)絡(luò)已經(jīng)深入到各行各業(yè)當(dāng)中 在我國的經(jīng)濟(jì)生 活中發(fā)揮著日益重要的作用 中國移動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)作為我國最龐大的網(wǎng)絡(luò)系統(tǒng)之一 網(wǎng)絡(luò)安全問題的重要性隨著移動(dòng)業(yè)務(wù)的重要性提高而日益凸顯 一直以來 中國移動(dòng)通信 有限公司都在不斷加強(qiáng)網(wǎng)絡(luò)安全保護(hù)設(shè)施 以保證整個(gè)網(wǎng)絡(luò)的信息安全 近幾年黑客活動(dòng) 日益頻繁 病毒多次爆發(fā) 涉及面廣 危害性大 滲透性深 各類計(jì)算機(jī)網(wǎng)絡(luò)安全事件層 出不窮 移動(dòng)骨干網(wǎng)絡(luò)和全國各省分公司計(jì)算機(jī)信息系統(tǒng)都不同程度地存在爆發(fā)安全危機(jī) 的隱患 為了提高中國移動(dòng)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)能力 規(guī)范相關(guān)應(yīng)急響應(yīng)技術(shù) 中國移 動(dòng)通信有限公司決定起草編寫 網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南 由技術(shù)部門牽 頭并提供業(yè)務(wù)指導(dǎo) 深圳市安絡(luò)科技有限公司提供具體實(shí)施的技術(shù)配合工作 二 適用范圍 本規(guī)范僅適用于中國移動(dòng)通信有限公司 其中包括各省移動(dòng)通信有限公司 開展安全 事件應(yīng)急響應(yīng)工作 本規(guī)范從安全事件應(yīng)急響應(yīng)的技術(shù)角度 為中國移動(dòng)提供通用的技術(shù) 參考和規(guī)范說明 本規(guī)范不包含應(yīng)急響應(yīng)管理方面的內(nèi)容 也未闡述適用中國移動(dòng)特定的 業(yè)務(wù)專用應(yīng)急技術(shù) 相關(guān)內(nèi)容應(yīng)分別在管理規(guī)范和業(yè)務(wù)系統(tǒng)的應(yīng)急預(yù)案與連續(xù)性計(jì)劃中體 現(xiàn) 系統(tǒng)隨著安全事件應(yīng)急響應(yīng)技術(shù)的不斷發(fā)展 本規(guī)范的相關(guān)部分也需要進(jìn)行相應(yīng)的調(diào) 整完善 三 編制依據(jù) 本規(guī)范依據(jù) 中國移動(dòng)互聯(lián)網(wǎng) CMnet 網(wǎng)絡(luò)安全管理辦法 2002 版 四 閱讀對象 本文詳細(xì)地分析了計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)面臨的威脅與黑客攻擊方法 詳盡 具體地披露 了攻擊技術(shù)的真相 給出了防范策略和技術(shù)實(shí)現(xiàn)措施 閱讀對象限于中國移動(dòng)的系統(tǒng)維護(hù) 人員 安全技術(shù)人員和安全評估人員 未經(jīng)授權(quán)嚴(yán)禁傳播此文檔 學(xué)習(xí)好幫手 五 引用標(biāo)準(zhǔn) 六 縮略語 CMnet 中國移動(dòng)互聯(lián)網(wǎng) CMCert CC 中國移動(dòng)網(wǎng)絡(luò)與信息安全應(yīng)急小組 TCP Transmission Control Protocol UDP User Datagram Protocol SMTP Simple Mail Transfer Protocol HTTP Hypertext Transfer Protocol ICMP Internet Control Message Protocol ARP Ethernet Address Resolution Protocol FTP File Transfer Protocol 七 安全事件及分類 安全事件是有可能損害資產(chǎn)安全屬性 機(jī)密性 完整性 可用性 的任何活動(dòng) 本文所稱安全事件特指由外部和內(nèi)部的攻擊所引起的危害業(yè)務(wù)系統(tǒng)或支撐系統(tǒng)安全并 可能引起損失的事件 安全事件可能給企業(yè)帶來可計(jì)算的財(cái)務(wù)損失和公司的信譽(yù)損失 本文采用兩種分類原則對安全事件進(jìn)行了分類 基于受攻擊設(shè)備的分類原則 面向中 國移動(dòng)系統(tǒng)維護(hù)人員 和基于安全事件原因的分類原則 面向中國移動(dòng)安全技術(shù)人員 在 準(zhǔn)備和檢測階段依據(jù)攻擊設(shè)備分類原則進(jìn)行闡述 其他后續(xù)階段依據(jù)安全事件原因進(jìn)行闡 述 基于受攻擊設(shè)備分類原則 安全事件分為 主機(jī)設(shè)備安全事件 網(wǎng)絡(luò)設(shè)備安全事件 數(shù)據(jù)庫系統(tǒng)安全事件 基于安全事件原因的分類原則 安全事件分為 拒絕服務(wù)類安全事件 拒絕服務(wù)類安全事件是指由于惡意用戶利用擠占帶寬 消耗系統(tǒng)資源等攻擊方法 使系統(tǒng)無法為正常用戶提供服務(wù)所引起的安全事件 系統(tǒng)漏洞類安全事件 系統(tǒng)漏洞類安全事件是指由于惡意用戶利用系統(tǒng)的安全漏洞對系統(tǒng)進(jìn)行未授權(quán)的 RFC 793Transmission Control Protocol RFC 768User Datagram Protocol RFC 821Simple Mail Transfer Protocol RFC 959File Transfer Protocol RFC 2616Hypertext Transfer Protocol RFC 792Internet Control Message Protocal RFC 828Ethernet Address Resolution Protocol RFC 2196Site Security Handbook 學(xué)習(xí)好幫手 訪問或破壞所引起的安全事件 網(wǎng)絡(luò)欺騙類安全事件 網(wǎng)絡(luò)欺騙類安全事件是指由于惡意用戶利用發(fā)送虛假電子郵件 建立虛假服務(wù)網(wǎng) 站 發(fā)送虛假網(wǎng)絡(luò)消息等方法對系統(tǒng)或用戶進(jìn)行未授權(quán)的訪問或破壞所引起的安 全事件 網(wǎng)絡(luò)竊聽類安全事件 網(wǎng)絡(luò)竊聽類安全事件是指由于惡意用戶利用以太網(wǎng)監(jiān)聽 鍵盤記錄等方法獲取未 授權(quán)的信息或資料所引起的安全事件 數(shù)據(jù)庫注入類安全事件 數(shù)據(jù)庫注入類安全事件是指由于惡意用戶通過提交特殊的參數(shù)從而達(dá)到獲取數(shù)據(jù) 庫中存儲的數(shù)據(jù) 得到數(shù)據(jù)庫用戶的權(quán)限所引起的安全事件 惡意代碼類安全事件 惡意代碼類安全事件是指惡意用戶利用病毒 蠕蟲 特洛伊木馬等其他惡意代碼 破壞網(wǎng)絡(luò)可用性或竊取網(wǎng)絡(luò)中數(shù)據(jù)所引起的安全事件 操作誤用類安全事件 操作誤用類安全事件是指合法用戶由于誤操作造成網(wǎng)絡(luò)或系統(tǒng)不能正常提供服務(wù) 所引起的安全事件 在上面的分類中可能存在一個(gè)具體的安全事件同時(shí)屬于幾類的情況 比如 蠕蟲病毒 引起的安全事件 就有可能同時(shí)屬于拒絕服務(wù)類的安全事件 系統(tǒng)漏洞類安全事件 和惡 意代碼類安全事件 此時(shí) 應(yīng)根據(jù)安全事件特征的輕重緩急 來合理的選擇應(yīng)對的技術(shù)措 施 仍然以蠕蟲病毒為例 在抑制階段 可能側(cè)重采用對抗拒絕服務(wù)攻擊的措施 控制蠕 蟲傳播 疏通網(wǎng)絡(luò)流量 緩解病毒對業(yè)務(wù)帶來的壓力 在根除階段采用惡意代碼類安全事 件的應(yīng)對措施孤立并清除被感染的病毒源 而在恢復(fù)階段 主要側(cè)重于消除被感染主機(jī)存 在的安全漏洞 從而避免再次感染相同的蠕蟲病毒 隨著攻擊手段的增多 安全事件的種類需要不斷補(bǔ)充 八 安全事件應(yīng)急響應(yīng) 安全事件應(yīng)急響應(yīng)是指針對已經(jīng)發(fā)生或可能發(fā)生的安全事件進(jìn)行監(jiān)控 分析 協(xié)調(diào) 處理 保護(hù)資產(chǎn)安全屬性的活動(dòng) 良好的安全事件響應(yīng)遵循事先制定的流程和技術(shù)規(guī)范 本文所指的安全事件應(yīng)急響應(yīng)特指對已經(jīng)發(fā)生的安全事件進(jìn)行分析和處理的過程 安全事件應(yīng)急響應(yīng)工作的特點(diǎn)是高度的壓力 短暫的時(shí)間和有限的資源 應(yīng)急響應(yīng)是 一項(xiàng)需要充分的準(zhǔn)備并嚴(yán)密組織的工作 它必須避免不正確的和可能是災(zāi)難性的動(dòng)作或忽 略了關(guān)鍵步驟的情況發(fā)生 它的大部分工作應(yīng)該是對各種可能發(fā)生的安全事件制定應(yīng)急預(yù) 案 并通過多種形式的應(yīng)急演練 不斷提高應(yīng)急預(yù)案的實(shí)際可操作性 具有必要技能和相 當(dāng)資源的應(yīng)急響應(yīng)組織是安全事件響應(yīng)的保障 參與具體安全事件應(yīng)急響應(yīng)的人員應(yīng)當(dāng)不 僅包括中國移動(dòng)應(yīng)急組織的人員 還應(yīng)包括安全事件涉及到的業(yè)務(wù)系統(tǒng)維護(hù)人員 設(shè)備提 供商 集成商和第三方安全應(yīng)急服務(wù)提供人員等 從而保證具有足夠的知識和技能應(yīng)對當(dāng) 前的安全事件 應(yīng)急響應(yīng)除了需要技術(shù)方面的技能外 還需要管理能力 相關(guān)的法律知識 溝通協(xié)調(diào)的技能 寫作技巧 甚至心理學(xué)的知識 在系統(tǒng)通常存在各種殘余風(fēng)險(xiǎn)的客觀情況下 應(yīng)急響應(yīng)是一個(gè)必要的保護(hù)策略 同時(shí) 需要強(qiáng)調(diào)的是 盡管有效的應(yīng)急響應(yīng)可以在某種程度上彌補(bǔ)安全防護(hù)措施的不足 但不可 能完全代替安全防護(hù)措施 缺乏必要的安全措施 會(huì)帶來更多的安全事件 最終造成資源 的浪費(fèi) 安全事件應(yīng)急響應(yīng)的目標(biāo)通常包括 采取緊急措施 恢復(fù)業(yè)務(wù)到正常服務(wù)狀態(tài) 調(diào)查 學(xué)習(xí)好幫手 安全事件發(fā)生的原因 避免同類安全事件再次發(fā)生 在需要司法機(jī)關(guān)介入時(shí) 提供法律任 何的數(shù)字證據(jù)等 在規(guī)范中以安全事件應(yīng)急響應(yīng) 6 階段 PDCERF 方法學(xué)為主線介紹安全事件應(yīng)急響 應(yīng)的過程和具體工作內(nèi)容 6 階段 PDCERF 方法學(xué)不是安全事件應(yīng)急響應(yīng)唯一的方法 結(jié)合中國移動(dòng)安全事件應(yīng)急響應(yīng)工作經(jīng)驗(yàn) 在實(shí)際應(yīng)急響應(yīng)過程中 也不一定嚴(yán)格存在這 6 個(gè)階段 也不一定嚴(yán)格按照 6 階段的順序進(jìn)行 但它是目前適用性較強(qiáng)的應(yīng)急響應(yīng)的通 用方法學(xué) 它包括準(zhǔn)備 檢測 抑制 根除 恢復(fù)和跟進(jìn) 6 個(gè)階段 6 階段方法學(xué)的簡要 關(guān)系見下圖 準(zhǔn)備階段 準(zhǔn)備階段是安全事件響應(yīng)的第一個(gè)階段 即在事件真正發(fā)生前為事件響應(yīng) 做好準(zhǔn)備 這一階段極為重要 因?yàn)槭录l(fā)生時(shí)可能需要在短時(shí)間內(nèi)處理較多的事物 如 果沒有足夠的準(zhǔn)備 那么將無法正確的完成響應(yīng)工作 在準(zhǔn)備階段請關(guān)注以下信息 基于威脅建立合理的安全保障措施 建立有針對性的安全事件應(yīng)急響應(yīng)預(yù)案 并進(jìn)行應(yīng)急演練 為安全事件應(yīng)急響應(yīng)提供足夠的資源和人員 建立支持事件響應(yīng)活動(dòng)管理體系 檢測階段 檢測是指以適當(dāng)?shù)姆椒ù_認(rèn)在系統(tǒng) 網(wǎng)絡(luò)中是否出現(xiàn)了惡意代碼 文件和目 錄是否被篡改等異?；顒?dòng) 現(xiàn)象 如果可能的話同時(shí)確定它的影響范圍和問題原因 在操作 的角度來講 事件響應(yīng)過程中所有的后續(xù)階段都依賴于檢測 如果沒有檢測 就不會(huì)存在 真正意義上的事件響應(yīng) 檢測階段是事件響應(yīng)的觸發(fā)條件 抑制階段 抑制階段是事件響應(yīng)的第三個(gè)階段 它的目的是限制攻擊 破壞所波及的范 圍 同時(shí)也是限制潛在的損失 所有的抑制活動(dòng)都是建立在能正確檢測事件的基礎(chǔ)上 抑 制活動(dòng)必須結(jié)合檢測階段發(fā)現(xiàn)的安全事件的現(xiàn)象 性質(zhì) 范圍等屬性 制定并實(shí)施正確的 抑制策略 抑制策略可能包含以下內(nèi)容 完全關(guān)閉所有系統(tǒng) 從網(wǎng)絡(luò)上斷開主機(jī)或部分網(wǎng)絡(luò) 修改所有的防火墻和路由器的過濾規(guī)則 封鎖或刪除被攻擊的登陸賬號 加強(qiáng)對系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控 設(shè)置誘餌服務(wù)器進(jìn)一步獲取事件信息 關(guān)閉受攻擊系統(tǒng)或其他相關(guān)系統(tǒng)的部分服務(wù) 根除階段 安全事件應(yīng)急響應(yīng) 6 階段方法論的第 4 階段是根除階段 即在準(zhǔn)確的抑制 事件后 找出事件的根源并徹底根除它 以避免攻擊者再次使用相同手段攻擊系統(tǒng) 引發(fā) 安全事件 在根除階段中將需要利用到在準(zhǔn)備階段中產(chǎn)生的結(jié)果 恢復(fù)階段 將事件的根源根除后 將進(jìn)入恢復(fù)階段 恢復(fù)階段的目標(biāo)是把所有被攻破 的系統(tǒng)或網(wǎng)絡(luò)設(shè)備還原到它們正常的任務(wù)狀態(tài) 跟進(jìn)階段 安全事件應(yīng)急響應(yīng) 6 階段方法論的最后一個(gè)階段是跟進(jìn)階段 其目標(biāo)是回 顧并整合發(fā)生事件的相關(guān)信息 跟進(jìn)階段也是 6 個(gè)階段中最可能被忽略的階段 但這一步 也是非常關(guān)鍵的 該階段需要完成的原因有以下幾點(diǎn) 有助于從安全事件中吸取經(jīng)驗(yàn)教訓(xùn) 提高技能 有助于評判應(yīng)急響應(yīng)組織的事件響應(yīng)能力 學(xué)習(xí)好幫手 準(zhǔn)備階段 Prepairing 檢測階段 Detection 抑制階段 Control 根除階段 Eradicate 恢復(fù)階段 Restore 跟進(jìn)階段 Follow 安全事件應(yīng)急響應(yīng) 6 階段方法論 九 文檔內(nèi)容概述 本規(guī)范的主要內(nèi)容是應(yīng)急響應(yīng)技術(shù)規(guī)范 分別對應(yīng)急響應(yīng)流程中每個(gè)環(huán)節(jié)所用到的技 術(shù)進(jìn)行了闡述 整個(gè)文檔由正文和附件兩個(gè)文檔組成 其中正文部分以應(yīng)急響應(yīng)方法學(xué)的 六個(gè)階段 準(zhǔn)備 檢測 抑制 根除 恢復(fù)和跟進(jìn) 為主線順序劃分章節(jié) 并對安全事件 響應(yīng)過程中涉及的取證流程和工具進(jìn)行了簡要的說明 附件部分是關(guān)于安全攻防的具體技 術(shù)內(nèi)容 正文的主要內(nèi)容是 第一章 準(zhǔn)備階段 主要闡述了準(zhǔn)備階段為應(yīng)急響應(yīng)后續(xù)階段工作制作系統(tǒng)初始 化狀態(tài)快照的相關(guān)內(nèi)容和技術(shù) 并以 Windows Solaris 系統(tǒng)為例對安全初始化快照 生成步驟做了詳細(xì)的說明 也闡述了 Windows Solaris Oracle 等系統(tǒng)的應(yīng)急處理 工具包包含的內(nèi)容和制作要求做了詳細(xì)的說明 建立安全保障措施 制定安全事件應(yīng)急預(yù)案 進(jìn)行應(yīng)急演練等內(nèi)容不包含在本規(guī)范 闡述的范圍之內(nèi) 第二章 檢測階段 詳細(xì)闡述了結(jié)合準(zhǔn)備階段生成的系統(tǒng)初始化狀態(tài)快照檢測安 全事件 系統(tǒng)安全事件 網(wǎng)絡(luò)安全事件 數(shù)據(jù)庫安全事件 相關(guān)內(nèi)容和技術(shù) 并以 Windows Solaris 系統(tǒng)為例做了詳細(xì)的說明 本規(guī)范不闡述通過入侵檢測系統(tǒng) 用戶投訴等其他途徑檢測安全事件的技術(shù)內(nèi)容 第三章 抑制和根除階段 闡述了各類安全事件 拒絕服務(wù)類攻擊 系統(tǒng)漏洞及 惡意代碼類攻擊 網(wǎng)絡(luò)欺騙類攻擊 網(wǎng)絡(luò)竊聽類攻擊 數(shù)據(jù)庫 SQL 注入類攻擊 相 應(yīng)的抑制或根除方法和技術(shù) 并以 Windows Solaris 系統(tǒng)為例做了詳細(xì)的說明 第四章 恢復(fù)階段 說明了將系統(tǒng)恢復(fù)到正常的任務(wù)狀態(tài)的方式 詳細(xì)說明了兩 種恢復(fù)的方式 一是在應(yīng)急處理方案中列明所有系統(tǒng)變化的情況下 直接刪除并恢 學(xué)習(xí)好幫手 復(fù)所有變化 二是在應(yīng)急處理方案中未列明所有系統(tǒng)變化的情況下 重裝系統(tǒng) 第五章 跟進(jìn)階段 為對抑制或根除的效果進(jìn)行審計(jì) 確認(rèn)系統(tǒng)沒有被再次入侵 提供了幫助 并說明了跟進(jìn)階段的工作要如何進(jìn)行 在何時(shí)進(jìn)行比較合適 具體的 工作流程 要思考和總結(jié)的問題以及需要報(bào)告的內(nèi)容 第六章 取證流程和工具 取證工作提供了可參考的工作流程 并列舉了部分取 證工具的使用方法 跟進(jìn) 恢復(fù) 抑制和根除 檢測 準(zhǔn)備 審計(jì) 安裝 加固和系統(tǒng)初始化 針對事件和檢測結(jié)果 系統(tǒng) 網(wǎng)絡(luò)和數(shù)據(jù)庫事件 系統(tǒng)快照 應(yīng)急響應(yīng)工具 文檔結(jié)構(gòu)圖 取證 盡管本規(guī)范和指南在寫作之初就做了全局性的規(guī)劃 內(nèi)容的組織形式不依賴于具體的 攻擊情景 事件分類方法具有較完備的覆蓋性 從而可在一定程度上保證文檔內(nèi)容的穩(wěn)定 性 本規(guī)范檔是以應(yīng)急響應(yīng)方法學(xué)為主線 突出通用的過程 但由于安全攻擊手段層出不 窮 作者寫作時(shí)間和水平有限 本規(guī)范和指南還需要在今后結(jié)合中國移動(dòng)的實(shí)際情況不斷 對其進(jìn)行補(bǔ)充和完善 學(xué)習(xí)好幫手 1 準(zhǔn)備階段 主要闡述了準(zhǔn)備階段為應(yīng)急響應(yīng)后續(xù)階段工作制作系統(tǒng)初始化狀態(tài)快照的相關(guān)內(nèi)容和 技術(shù) 并以 Windows Solaris 系統(tǒng)為例對安全初始化快照生成步驟做了詳細(xì)的說明 也闡 述了 Windows Solaris Oracle 等系統(tǒng)的應(yīng)急處理工具包包含的內(nèi)容和制作要求做了詳細(xì) 的說明 準(zhǔn)備階段還應(yīng)包括的建立安全保障措施 制定安全事件應(yīng)急預(yù)案 進(jìn)行應(yīng)急演練等內(nèi) 容不包含在本規(guī)范闡述的范圍之內(nèi) 請參考中國移動(dòng)相關(guān)規(guī)范 1 1 概述 1 1 1 準(zhǔn)備階段工作內(nèi)容 準(zhǔn)備階段的工作內(nèi)容主要有兩個(gè) 一是對信息系統(tǒng)進(jìn)行初始化的快照 二是準(zhǔn)備應(yīng)急 響應(yīng)工具包 系統(tǒng)快照是信息系統(tǒng)進(jìn)程 賬號 服務(wù)端口和關(guān)鍵文件簽名等狀態(tài)信息的記 錄 通過在系統(tǒng)初始化或發(fā)生重要狀態(tài)改變后 在確保系統(tǒng)未被入侵的前提下 立即制作 并保存系統(tǒng)快照 并在檢測的時(shí)候?qū)⒈４娴目煺张c信息系統(tǒng)當(dāng)前狀態(tài)進(jìn)行對比 是發(fā)現(xiàn)安 全事件的一種重要途徑 1 1 1 1 系統(tǒng)快照 系統(tǒng)快照是系統(tǒng)狀態(tài)的精簡化描述 在確保系統(tǒng)未被入侵的前提下 應(yīng)在以下時(shí)機(jī)由 系統(tǒng)維護(hù)人員完成系統(tǒng)快照的生成和保存工作 系統(tǒng)初始化安裝完成后 系統(tǒng)重要配置文件發(fā)生更改后 系統(tǒng)進(jìn)行軟件升級后 系統(tǒng)發(fā)生過安全入侵事件并恢復(fù)后 在今后的安全檢測時(shí) 通過將最近保存的系統(tǒng)快照與當(dāng)前系統(tǒng)快照進(jìn)行仔細(xì)的核對 能夠快速 準(zhǔn)確的發(fā)現(xiàn)系統(tǒng)的改變或異常 準(zhǔn)備階段還應(yīng)包括建立安全保障措施 對系統(tǒng)進(jìn)行安全加固 制定安全事件應(yīng)急預(yù)案 進(jìn)行應(yīng)急演練等內(nèi)容 這些內(nèi)容不在本規(guī)范檔中進(jìn)行詳細(xì)的闡述 主機(jī)系統(tǒng)快照 應(yīng)包括但并不限于以下內(nèi)容 系統(tǒng)進(jìn)程快照 關(guān)鍵文件簽名快照 開放的對外服務(wù)端口快照 系統(tǒng)資源利用率的快照 注冊表快照 計(jì)劃任務(wù)快照 系統(tǒng)賬號快照 日志及審核策略快照 以上內(nèi)容中的系統(tǒng)進(jìn)程快照 關(guān)鍵文件簽名和系統(tǒng)賬號快照尤為重要 一般入侵事件 學(xué)習(xí)好幫手 均可通過此三項(xiàng)快照的關(guān)聯(lián)分析查找獲得重要信息 網(wǎng)絡(luò)設(shè)備快照應(yīng)包括但并不限于以下內(nèi)容 路由快照 設(shè)備賬號快照 系統(tǒng)資源利用率快照 數(shù)據(jù)庫系統(tǒng)快照照應(yīng)包括但并不限于以下內(nèi)容 開啟的服務(wù) 所有用戶及所具有的角色及權(quán)限 概要文件 數(shù)據(jù)庫參數(shù) 所有初始化參數(shù) 1 1 1 2 應(yīng)急響應(yīng)工具包 應(yīng)急工具包是指網(wǎng)絡(luò)與信息安全應(yīng)急事件處理過程中將使用工具集合 該工具包應(yīng)由 安全技術(shù)人員及時(shí)建立 并定時(shí)更新 使用應(yīng)急響應(yīng)工具包中的工具所產(chǎn)生的結(jié)果將是網(wǎng) 絡(luò)與信息安全應(yīng)急事件處理過程中的可信基礎(chǔ) 本規(guī)范結(jié)合中國移動(dòng)實(shí)際工作情況 具體 說明了 Windows 應(yīng)急響應(yīng)工具包和 Unix Linux 應(yīng)急響應(yīng)工具包 工具包應(yīng)盡量放置在不可 更改的介質(zhì)上 如只讀光盤 1 1 2 準(zhǔn)備階段工作流程 第一步 系統(tǒng)維護(hù)人員按照系統(tǒng)的初始化策略對系統(tǒng)進(jìn)行安裝和配置加固 第二步 系統(tǒng)維護(hù)人員對安裝和配置加固后的系統(tǒng)進(jìn)行自我檢查 確認(rèn)是否加固完成 第三步 系統(tǒng)維護(hù)人員建立系統(tǒng)狀態(tài)快照 第四步 系統(tǒng)維護(hù)人員對快照信息進(jìn)行完整性簽名 以防止快照被非法篡改 第五步 系統(tǒng)維護(hù)人員將快照保存在與系統(tǒng)分離的存儲介質(zhì)上 學(xué)習(xí)好幫手 對系統(tǒng)進(jìn)行安裝和配置加固 自我檢查 確認(rèn)是否加固完 成 建立和保存系統(tǒng)狀態(tài)快照 對快照進(jìn)行完整性簽名 快照保存 準(zhǔn)備階段流程圖 1 1 3 準(zhǔn)備階段操作說明 1 對系統(tǒng)的影響 本章操作不會(huì)對系統(tǒng)造成影響 在系統(tǒng)正常運(yùn)行情況下執(zhí)行各個(gè)步驟 2 操作的復(fù)雜度 容易 普通 復(fù)雜 容易 3 操作效果 對執(zhí)行后的結(jié)果必須保存到不可更改的存儲介質(zhì) 4 操作人員 各操作系統(tǒng) 數(shù)據(jù)庫 網(wǎng)絡(luò)設(shè)備的系統(tǒng)維護(hù)人員 1 2 主機(jī)和網(wǎng)絡(luò)設(shè)備安全初始化快照 1 Windows 安全初始化快照 生成帳號快照 生成進(jìn)程快照 生成服務(wù)快照 生成自啟動(dòng)快照 生成文件簽名快照 生成網(wǎng)絡(luò)連接快照 生成共享快照 生成定時(shí)作業(yè)快照 生成注冊表快照 保存所有快照到光盤內(nèi) 2 Unix 安全初始化快照 獲得所有 setuid 和 setgid 的文件列表 獲得所有的隱藏文件列表 學(xué)習(xí)好幫手 獲得初始化進(jìn)程列表 獲得開放的端口列表 獲得開放的服務(wù)列表 獲得初始化 passwd 文件信息 獲得初始化 shadow 文件信息 獲得初始化的不能 ftp 登陸的用戶信息 獲得初始化的用戶組信息 獲得初始化的 etc hosts 文件信息 獲得初始化的 etc default login 文件信息 獲得 var log 目錄下的初始化文件列表信息 獲得 var adm 目錄下的初始化文件列表信息 獲得初始化計(jì)劃任務(wù)列表文件 獲得初始化加載的內(nèi)核模塊列表 獲得初始化日志配置文件 etc syslog conf 信息 獲得初始化 md5 校驗(yàn)和信息 保存所有快照到光盤內(nèi) 3 網(wǎng)絡(luò)設(shè)備安全初始化快照 獲取用戶訪問線路列表 獲取用戶權(quán)限信息列表 獲取開放端口列表 獲取路由表 獲取訪問控制列表 獲取路由器 CPU 狀態(tài) 保存所有信息到光盤內(nèi) 4 數(shù)據(jù)庫安全初始化快照 獲取 Oracle 數(shù)據(jù)庫用戶信息 獲取 DEFAULT 概要文件信息 獲取數(shù)據(jù)庫參數(shù)信息 獲取 Oracle 其他初始化參數(shù)信息 保存所有信息到光盤內(nèi) 5 安全加固及系統(tǒng)備份 1 2 1 Windows 安全初始化快照 1 獲取帳號信息 說明 Windows 2000 Server 缺省安裝后有五個(gè)帳號 其中兩個(gè)帳號是 IIS 帳號 一個(gè)是安 裝了終端服務(wù)的終端用戶帳號 如果系統(tǒng)維護(hù)人員自己創(chuàng)建了帳號 也要記錄在案 操作方法 使用 net user 命令 Windows 系統(tǒng)自帶 可以列舉出系統(tǒng)當(dāng)前帳號 附加信息 Windows 2000 Server 缺省安裝后的五個(gè)帳號名稱 Administrator 默認(rèn)系統(tǒng)維護(hù)人員帳號 Guest 來賓用戶帳號 學(xué)習(xí)好幫手 IUSR 機(jī)器名 IIS 來賓帳號 IWAM 機(jī)器名 啟動(dòng) IIS 的進(jìn)程帳號 TsInternetUser 終端用戶帳號 2 獲取進(jìn)程列表 說明 系統(tǒng)維護(hù)人員應(yīng)在系統(tǒng)安裝配置完成后對系統(tǒng)進(jìn)程做快照 操作方法 通過使用 pslist 命令 第三方工具 下載 能夠列舉 當(dāng)前進(jìn)程建立快照 使用 Widnows 任務(wù)管理器 Windows 系統(tǒng)自帶 也可以列舉出當(dāng)前 進(jìn)程 但推薦使用 pslist 工具 附加信息 請參見附錄 1 察看 Windows 2000 Server 系統(tǒng)進(jìn)程名及對應(yīng)功能 3 獲取服務(wù)列表 說明 系統(tǒng)維護(hù)人員應(yīng)在系統(tǒng)安裝配置完成后對系統(tǒng)服務(wù)做服務(wù)快照 操作方法 使用 sc query state all 命令格式 Windows 資源工具箱中的工具 可以列舉出 系統(tǒng)當(dāng)前服務(wù)信息 附加信息 請參見附錄 2 察看 Windows 2000 Server 系統(tǒng)服務(wù) 4 獲取自啟動(dòng)程序信息 說明 Windows 2000 Server 缺省安裝后并無自啟動(dòng)項(xiàng)目 如果系統(tǒng)維護(hù)人員自己安裝了某 些軟件 比如 Office 打印機(jī)等等 缺省情況下將被添加到自啟動(dòng)目錄中 操作方法 檢查各用戶目錄下的 開始 菜單 程序 啟動(dòng) 目錄 5 獲取系統(tǒng)關(guān)鍵文件簽名 說明 Windows 2000 Server 缺省安裝后 系統(tǒng)維護(hù)人員應(yīng)利用 md5sum 工具 對系統(tǒng)重要 文件生成系統(tǒng) MD5 快照 然后將這些簽名信息保存在安全的服務(wù)器上 以后可做文件對 比 操作方法 使用 md5sum exe 命令 第三方工具 系統(tǒng)文件進(jìn)行 MD5 快照 使用方法 md5sum FILE 后面可跟多個(gè)文件 附加信息 建議用戶對以下二進(jìn)制文件和動(dòng)態(tài)連接庫文件進(jìn)行 MD5SUM 快照 windir EXPLORER EXE windir REGEDIT EXE windir NOTEPAD EXE windir TASKMAN EXE windir system32 cmd exe windir system32 net exe windir system32 ftp exe windir system32 tftp exe windir system32 at exe windir system32 netstat exe windir system32 ipconfig exe windir system32 arp exe windir system32 KRNL386 EXE windir system32 WINLOGON EXE 學(xué)習(xí)好幫手 windir system32 TASKMGR EXE windir system32 runonce exe windir system32 rundll32 exe windir system32 regedt32 exe windir system32 notepad exe windir system32 CMD EXE windir system COMMDLG DLL windir system32 HAL DLL windir system32 MSGINA DLL windir system32 WSHTCPIP DLL windir system32 TCPCFG DLL windir system32 EVENTLOG DLL windir system32 COMMDLG DLL windir system32 COMDLG32 DLL windir system32 COMCTL32 DLL 6 獲取網(wǎng)絡(luò)連接信息 說明 Windows2000 缺省情況下系統(tǒng)開放 135 139 445 1025 TCP 端口 開放 137 138 445UDP 端口 如果安裝了 MS SQL 服務(wù)器 還開放 TCP1433 UDP1434 端口 如 果安裝了 IIS 服務(wù)器還將開放 TCP80 端口 操作方法 使用 netstat an 命令可以列舉出當(dāng)前系統(tǒng)開放的 TCP UDP 端口 附加信息 建議使用 netstat an 命令 Windows 系統(tǒng)自帶 快照出系統(tǒng)開放端口和正常 連接 7 獲取共享信息 說明 Windows 2000Server 缺省情況下開放各磁盤共享 如 C 遠(yuǎn)程管理共享 admin 和 遠(yuǎn)程 IPC 共享 IPC 如果用戶另外打開了其它目錄文件的共享 請記錄在案 操作方法 使用 net share 命令 Windows 系統(tǒng)自帶 建立共享快照 附加信息 Windows 2000Server 缺省共享 共享名 資源 注釋 D D 默認(rèn)共享 ADMIN D WINNT 遠(yuǎn)程管理 C C 默認(rèn)共享 IPC 遠(yuǎn)程 IPC 8 獲取定時(shí)作業(yè)信息 說明 Windows 2000 Server 缺省安裝后并無定時(shí)作業(yè) 如果系統(tǒng)維護(hù)人員自己設(shè)置了某些 軟件 請記錄在案 建議系統(tǒng)維護(hù)人員使用 at 命令建立定時(shí)作業(yè)快照 操作方法 使用 at 命令 Windows 系統(tǒng)自帶 建立定時(shí)作業(yè)快照 附加信息 無 9 獲取注冊表信息 說明 在對 Windows 2000 Server 安裝了必要的軟件后 可對注冊表關(guān)鍵鍵值進(jìn)行快照 供 學(xué)習(xí)好幫手 以后在檢測時(shí)進(jìn)行注冊表對比 操作方法 使用 regdmp 命令 Windows 資源工具箱 可以對注冊表進(jìn)行快照 附加信息 可以進(jìn)行注冊表快照有多種方法 例如使用第三方軟件 比如 Regshot Regsnap 等 在 Windows 注冊表編輯器中也可以對注冊表進(jìn)行備份和快照 另外 微軟的資源工具箱中的 regdmp 命令也可以用來進(jìn)行注冊表快照工作 直接在命令下運(yùn)行 該命令及需要備份的鍵值即可 比如 C tools MS regdmp HKEY LOCAL MACHINE SOFTWARE MICROSOFT WINDOWS CURRENTVERSION RUN 建議系統(tǒng)維護(hù)人員對下面的關(guān)鍵鍵值進(jìn)行快照 HKEY LOCAL MACHINES System CurrentControlSet Control SessionManager KnownDLLs HKEY LOCAL MACHINES System ControlSet001 Control SessionManager KnownDLLs HKEY LOCAL MACHINES Software Micrsoft Windows CurrentVersion Run HKEY LOCAL MACHINES Software Micrsoft Windows CurrentVersion RunOnce HKEY LOCAL MACHINES Software Micrsoft Windows CurrentVersion RunOnceEx HKEY LOCAL MACHINES Software Micrsoft Windows CurrentVersion RunServices HKEY LOCAL MACHINES Software Micrsoft WindowsNT CurrentVersion Windows run line HKEY LOCAL MACHINES sam sam HKEY CURRENT USER Software Micrsoft Windows CurrentVersion Run HKEY CURRENT USER Software Micrsoft Windows CurrentVersion RunOnce HKEY CURRENT USER Software Micrsoft Windows CurrentVersion RunOnceEx HKEY CURRENT USER Software Micrsoft Windows CurrentVersion RunServices HKEY CURRENT USER Software Micrsoft WindowsNT CurrentVersion Windows run line 1 2 2 Unix 安全初始化快照 1 2 2 1 Solaris 安全初始化快照 以 Solaris8 為例 1 獲取所有 setuid 和 setgid 的文件列表 命令 find type f perm 04000 o perm 02000 print 查找系統(tǒng)中所有的帶有 suid 位和 sgid 位的文件 2 獲取所有的隱藏文件列表 命令 find name print 查找所有以 開頭的文件并打印出路徑 3 獲取初始化進(jìn)程列表 命令 ps ef 說明 UID 進(jìn)程所有者的用戶 id PID 進(jìn)程 id PPID 父進(jìn)程的進(jìn)程 id C CPU 占用率 學(xué)習(xí)好幫手 STIME 以小時(shí) 分和秒表示的進(jìn)程啟動(dòng)時(shí)間 TIME 進(jìn)程自從啟動(dòng)以后占用 CPU 的全部時(shí)間 CMD 生成進(jìn)程的命令名 4 獲取開放的端口列表 命令 netstat an 5 獲取開放的服務(wù)列表 命令 cat etc inetd conf 具體內(nèi)容請參見附錄 6 Solaris 的 inetd conf 初始化主要內(nèi)容 6 獲取初始化 passwd 文件信息 命令 cat etc passwd 說明 如果發(fā)現(xiàn)一些系統(tǒng)賬號 如 bin sys 加上了 shell 部分 就說明有問題 下面是正常的 passwd 文件 bin sys adm 等系統(tǒng)帳號沒有 shell bin x 2 2 usr bin sys x 3 3 adm x 4 4 Admin var adm 7 獲取初始化 shadow 文件信息 命令 cat etc shadow 說明 如果發(fā)現(xiàn)一些系統(tǒng)賬號的密碼被更改了 或者不可登錄的用戶有密碼了 就說明該 賬號可能有問題了 sys CVLoXsQvCgK62 6445 adm CVLoXsQvCgK62 6445 8 獲取初始化的不能 ftp 登陸的用戶信息 命令 cat ftpusers 說明 在這個(gè)列表里邊的用戶名是不允許 ftp 登陸的 如果列表改變了 有可能是被入侵 者改動(dòng)過 root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4 9 獲取初始化的用戶組信息 學(xué)習(xí)好幫手 命令 cat etc group 說明 這是系統(tǒng)用戶的分組情況 root 0 root other 1 bin 2 root bin daemon sys 3 root bin sys adm adm 4 root adm daemon uucp 5 root uucp mail 6 root tty 7 root tty adm lp 8 root lp adm nuucp 9 root nuucp staff 10 daemon 12 root daemon sysadmin 14 nobody 60001 noaccess 60002 nogroup 65534 10 獲取初始化的 etc hosts 文件信息 命令 cat hosts Internet host table 127 0 0 1 localhost 192 168 0 180 Solaris8x86 loghost 11 獲取初始化的 etc default login 文件信息 命令 cat etc default login 說明 這里是用戶登陸的配置文件的一部分 如控制 root 能否從控制臺以外的地方登陸 ident login dfl 1 10 99 08 04 SMI SVr4 0 1 1 1 1 Set the TZ environment variable of the shell TIMEZONE EST5EDT ULIMIT sets the file size limit for the login Units are disk blocks The default of zero means no limit ULIMIT 0 If CONSOLE is set root can only login on that device Comment this line out to allow remote login by root CONSOLE dev console 現(xiàn)在 root 是不能遠(yuǎn)程登錄的 PASSREQ determines if login requires a password 學(xué)習(xí)好幫手 PASSREQ YES 12 獲取 var log 目錄下的初始化文件列表信息 命令 ls la var log 說明 這些日志是和 etc syslog conf 配置文件中的日志相對應(yīng)的 total 8 drwxr xr x 2 root sys 512 Jan 12 03 54 drwxr xr x 28 root sys 512 Jan 12 04 28 rw 1 root sys 0 Jan 12 03 46 authlog rw r r 1 root other 424 Jan 12 04 28 sysidconfig log rw r r 1 root sys 766 Jan 12 04 57 syslog 13 獲取 var adm 目錄下的初始化文件列表信息 命令 ls la var adm 說明 這些日志是和 etc syslog conf 配置文件中的日志相對應(yīng)的 total 114 drwxrwxr x 6 root sys 512 Jan 12 05 11 drwxr xr x 28 root sys 512 Jan 12 04 28 rw 1 uucp bin 0 Jan 12 03 46 aculog r r r 1 root other 2828 Jan 12 05 08 lastlog drwxr xr x 2 adm adm 512 Jan 12 03 46 log rw r r 1 root root 25859 Jan 12 04 57 messages drwxr xr x 2 adm adm 512 Jan 12 03 46 passwd drwxr xr x 2 root sys 512 Jan 12 03 55 sm bin rw rw rw 1 root bin 0 Jan 12 03 46 spellhist drwxr xr x 2 root sys 512 Jan 12 03 46 streams rw 1 root root 99 Jan 12 05 13 sulog rw r r 1 root bin 3348 Jan 12 05 08 utmpx rw r r 1 root root 244 Jan 12 04 57 vold log rw r r 1 adm adm 15996 Jan 12 05 08 wtmpx 14 獲取初始化計(jì)劃任務(wù)列表文件 命令 var spool cr