23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南

23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南精品資料中國移動網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南版本號：V1.0中國移動通信有限責任公司二零零四年十一月23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第1頁。

23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第1頁。目錄TOC\o"1-6"\h\z\u前言 7一、背景 7二、適用范圍 7三、編制依據(jù) 7四、閱讀對象 7五、引用標準 8六、縮略語 8七、安全事件及分類 8八、安全事件應(yīng)急響應(yīng) 9九、文檔內(nèi)容概述 111準備階段 131.1概述 131.1.1準備階段工作內(nèi)容 13系統(tǒng)快照 13應(yīng)急響應(yīng)工具包 141.1.2準備階段工作流程 141.1.3準備階段操作說明 151.2主機和網(wǎng)絡(luò)設(shè)備安全初始化快照 151.2.1Windows安全初始化快照 161.2.2Unix安全初始化快照 19Solaris安全初始化快照 191.2.3網(wǎng)絡(luò)設(shè)備安全初始化快照 26路由器安全初始化快照 261.2.4數(shù)據(jù)庫安全初始化快照 27Oracle安全初始化快照 271.2.5安全加固及系統(tǒng)備份 321.3應(yīng)急響應(yīng)標準工作包的準備 321.3.1Windows系統(tǒng)應(yīng)急處理工作包 33系統(tǒng)基本命令 33其它工具軟件 331.3.2Unix系統(tǒng)應(yīng)急處理工作包 34系統(tǒng)基本命令 34其它工具軟件 341.3.3Oracle數(shù)據(jù)庫應(yīng)急處理工具包 3523-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第2頁。2檢測階段 3623-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第2頁。2.1概述 362.1.1檢測階段工作內(nèi)容 362.1.2檢測階段工作流程 362.1.3檢測階段操作說明 372.2系統(tǒng)安全事件初步檢測方法 372.2.1Windows系統(tǒng)檢測技術(shù)規(guī)范 37Windows服務(wù)器檢測技術(shù)規(guī)范 37Windows檢測典型案例 392.2.2Unix系統(tǒng)檢測技術(shù)規(guī)范 39Solaris系統(tǒng)檢測技術(shù)規(guī)范 39Unix檢測典型案例 402.3系統(tǒng)安全事件高級檢測方法 432.3.1Windows系統(tǒng)高級檢測技術(shù)規(guī)范 43Windows高級檢測技術(shù)規(guī)范 43Windows高級檢測技術(shù)案例 442.3.2Unix系統(tǒng)高級檢測技術(shù)規(guī)范 45Solaris高級檢測技術(shù)規(guī)范 45Unix高級檢測技術(shù)案例 482.4網(wǎng)絡(luò)安全事件檢測方法 522.4.1拒絕服務(wù)事件檢測方法 52利用系統(tǒng)漏洞的拒絕服務(wù)攻擊檢測方法 52利用網(wǎng)絡(luò)協(xié)議的拒絕服務(wù)攻擊檢測方法 522.4.2網(wǎng)絡(luò)欺騙安全事件檢測方法 52DNS欺騙檢測規(guī)范及案例 52WEB欺騙檢測規(guī)范及案例 52電子郵件欺騙檢測規(guī)范及案例 532.4.3網(wǎng)絡(luò)竊聽安全事件檢測方法 54共享環(huán)境下SNIFFER檢測規(guī)范及案例 54交換環(huán)境下SNIFFER檢測規(guī)范及案例 552.4.4口令猜測安全事件檢測方法 55windows系統(tǒng)檢測 56UNIX系統(tǒng)檢測 56CISCO路由器檢測 562.4.5網(wǎng)絡(luò)異常流量特征檢測 57網(wǎng)絡(luò)異常流量分析方法 572.5數(shù)據(jù)庫安全事件檢測方法 582.5.1數(shù)據(jù)庫常見攻擊方法檢測 582.5.2腳本安全事件檢測 58SQL注入攻擊檢測方法 58SQL注入攻擊案例 592.6事件驅(qū)動方式的安全檢測方法 592.6.1日常例行檢查中發(fā)現(xiàn)安全事件的安全檢測方法 59特點 5923-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第3頁。人工檢測被入侵的前兆 5923-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第3頁。檢測的流程 602.6.2事件驅(qū)動的病毒安全檢測方法 61特點 61病毒檢測流程 62防御計算機病毒措施 632.6.3事件驅(qū)動的入侵檢測安全檢測方法 63特征 63入侵檢測系統(tǒng)分為網(wǎng)絡(luò)型和主機型 63入侵檢測流程 642.6.4事件驅(qū)動的防火墻安全檢測方法 64特點 64防火墻安全檢測流程 653抑制和根除階段 673.1概述 673.1.1抑制和根除階段工作內(nèi)容 673.1.2抑制和根除階段工作流程 673.1.3抑制和根除階段操作說明 683.2拒絕服務(wù)類攻擊抑制 693.2.1SYN和ICMP拒絕服務(wù)攻擊抑制和根除 69SYN（UDP）-FLOOD拒絕服務(wù)攻擊抑制及根除 69ICMP-FLOOD拒絕服務(wù)攻擊抑制及根除 693.2.2系統(tǒng)漏洞拒絕服務(wù)抑制 70WIN系統(tǒng)漏洞拒絕服務(wù)攻擊抑制及根除 70UNIX系統(tǒng)漏洞拒絕服務(wù)攻擊抑制及根除 70網(wǎng)絡(luò)設(shè)備IOS系統(tǒng)漏洞拒絕服務(wù)攻擊抑制 713.3利用系統(tǒng)漏洞類攻擊抑制 713.3.1系統(tǒng)配置漏洞類攻擊抑制 71簡單口令攻擊類抑制 71簡單口令攻擊類根除 713.3.2系統(tǒng)程序漏洞類攻擊抑制 72緩沖溢出攻擊類抑制 72緩沖溢出攻擊類根除 723.4網(wǎng)絡(luò)欺騙類攻擊抑制與根除 733.4.1DNS欺騙攻擊抑制與根除 733.4.2電子郵件欺騙攻擊抑制與根除 73電子郵件欺騙攻擊抑制 73電子郵件欺騙攻擊根除 743.5網(wǎng)絡(luò)竊聽類攻擊抑制及根除 743.5.1共享環(huán)境下SNIFFER攻擊抑制及根除 74共享環(huán)境下SNIFFER攻擊抑制及根除 743.5.2交換環(huán)境下SNIFFER攻擊抑制 7523-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第4頁。交換環(huán)境下SNIFFER攻擊抑制 7523-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第4頁。3.6數(shù)據(jù)庫SQL注入類攻擊抑制與根除 763.6.1數(shù)據(jù)庫SQL注入類攻擊抑制與根除 76對于動態(tài)構(gòu)造SQL查詢的場合，可以使用下面的技術(shù)： 76用存儲過程來執(zhí)行所有的查詢。 76限制表單或查詢字符串輸入的長度。 76檢查用戶輸入的合法性，確信輸入的內(nèi)容只包含合法的數(shù)據(jù)。 76將用戶登錄名稱、密碼等數(shù)據(jù)加密保存。 77檢查提取數(shù)據(jù)的查詢所返回的記錄數(shù)量 77Sql注入并沒有根除辦法. 773.7惡意代碼攻擊抑制和根除 773.7.1惡意代碼介紹 773.7.2惡意代碼抑制和根除 77惡意代碼抑制方法 77惡意代碼根除方法 784恢復(fù)階段 794.1.1恢復(fù)階段工作內(nèi)容 794.1.2恢復(fù)階段工作流程 794.1.3恢復(fù)階段操作說明 804.2重裝系統(tǒng) 804.2.1重裝系統(tǒng)時的步驟 804.2.2重裝系統(tǒng)時的注意事項 814.3安全加固及系統(tǒng)初始化 814.3.1系統(tǒng)安全加固和安全快照 81安全加固 81安全快照 815跟進階段 825.1概述 825.1.1跟進階段工作內(nèi)容 825.1.2跟進階段工作流程 825.1.3跟進階段操作說明 835.2跟進階段的目的和意義 835.3跟進階段的報告內(nèi)容 836取證流程和工具 866.1概述 866.2操作說明 866.3取證的重要規(guī)則 8623-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第5頁。6.4取證流程 8623-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第5頁。6.5取證工具 876.5.1系統(tǒng)命令 876.5.2商業(yè)軟件介紹 8823-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第6頁。

前言23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第6頁。制定本文檔的目的是為中國移動提供網(wǎng)絡(luò)與信息安全響應(yīng)工作的技術(shù)規(guī)范及指南，本規(guī)范含了一個關(guān)于安全攻防的具體技術(shù)內(nèi)容的附件。本文檔由中國移動通信有限公司網(wǎng)絡(luò)部提出并歸口。解釋權(quán)歸屬于中國移動通信有限公司網(wǎng)絡(luò)部。本文檔起草單位：中國移動通信有限公司網(wǎng)絡(luò)部本文檔主要起草人：王新旺、蔡洗非、陳敏時、彭泉、劉小云、王亮、余曉敏、周碧波、劉楠、謝朝霞本文檔解釋單位：中國移動通信有限公司網(wǎng)絡(luò)部一、背景隨著我國的互聯(lián)網(wǎng)絡(luò)迅猛發(fā)展，互聯(lián)網(wǎng)絡(luò)已經(jīng)深入到各行各業(yè)當中，在我國的經(jīng)濟生活中發(fā)揮著日益重要的作用。中國移動計算機網(wǎng)絡(luò)系統(tǒng)作為我國最龐大的網(wǎng)絡(luò)系統(tǒng)之一，網(wǎng)絡(luò)安全問題的重要性隨著移動業(yè)務(wù)的重要性提高而日益凸顯。一直以來，中國移動通信有限公司都在不斷加強網(wǎng)絡(luò)安全保護設(shè)施，以保證整個網(wǎng)絡(luò)的信息安全。近幾年黑客活動日益頻繁，病毒多次爆發(fā)，涉及面廣，危害性大，滲透性深，各類計算機網(wǎng)絡(luò)安全事件層出不窮，移動骨干網(wǎng)絡(luò)和全國各省分公司計算機信息系統(tǒng)都不同程度地存在爆發(fā)安全危機的隱患。為了提高中國移動網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)能力，規(guī)范相關(guān)應(yīng)急響應(yīng)技術(shù)，中國移動通信有限公司決定起草編寫《網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南》，由技術(shù)部門牽頭并提供業(yè)務(wù)指導，深圳市安絡(luò)科技有限公司提供具體實施的技術(shù)配合工作。二、適用范圍本規(guī)范僅適用于中國移動通信有限公司（其中包括各省移動通信有限公司），開展安全事件應(yīng)急響應(yīng)工作。本規(guī)范從安全事件應(yīng)急響應(yīng)的技術(shù)角度，為中國移動提供通用的技術(shù)參考和規(guī)范說明。本規(guī)范不包含應(yīng)急響應(yīng)管理方面的內(nèi)容，也未闡述適用中國移動特定的業(yè)務(wù)專用應(yīng)急技術(shù)。相關(guān)內(nèi)容應(yīng)分別在管理規(guī)范和業(yè)務(wù)系統(tǒng)的應(yīng)急預(yù)案與連續(xù)性計劃中體現(xiàn)。系統(tǒng)隨著安全事件應(yīng)急響應(yīng)技術(shù)的不斷發(fā)展，本規(guī)范的相關(guān)部分也需要進行相應(yīng)的調(diào)整完善。三、編制依據(jù)本規(guī)范依據(jù)《中國移動互聯(lián)網(wǎng)（CMnet）網(wǎng)絡(luò)安全管理辦法》2002版四、閱讀對象本文詳細地分析了計算機及網(wǎng)絡(luò)系統(tǒng)面臨的威脅與黑客攻擊方法，詳盡、具體地披露了攻擊技術(shù)的真相，給出了防范策略和技術(shù)實現(xiàn)措施。閱讀對象限于中國移動的系統(tǒng)維護人員、安全技術(shù)人員和安全評估人員。未經(jīng)授權(quán)嚴禁傳播此文檔。23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第7頁。23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第7頁。五、引用標準RFC793TransmissionControlProtocolRFC768UserDatagramProtocolRFC821SimpleMailTransferProtocolRFC959FileTransferProtocolRFC2616HypertextTransferProtocolRFC792InternetControlMessageProtocalRFC828EthernetAddressResolutionProtocolRFC2196 SiteSecurityHandbook六、縮略語CMnet： 中國移動互聯(lián)網(wǎng)CMCert/CC： 中國移動網(wǎng)絡(luò)與信息安全應(yīng)急小組TCP： TransmissionControlProtocolUDP： UserDatagramProtocolSMTP： SimpleMailTransferProtocolHTTP： HypertextTransferProtocolICMP： InternetControlMessageProtocolARP： EthernetAddressResolutionProtocolFTP： FileTransferProtocol七、安全事件及分類安全事件是有可能損害資產(chǎn)安全屬性（機密性、完整性、可用性）的任何活動。本文所稱安全事件特指由外部和內(nèi)部的攻擊所引起的危害業(yè)務(wù)系統(tǒng)或支撐系統(tǒng)安全并可能引起損失的事件。安全事件可能給企業(yè)帶來可計算的財務(wù)損失和公司的信譽損失本文采用兩種分類原則對安全事件進行了分類：基于受攻擊設(shè)備的分類原則（面向中國移動系統(tǒng)維護人員）和基于安全事件原因的分類原則（面向中國移動安全技術(shù)人員）。在準備和檢測階段依據(jù)攻擊設(shè)備分類原則進行闡述，其他后續(xù)階段依據(jù)安全事件原因進行闡述?；谑芄粼O(shè)備分類原則，安全事件分為：主機設(shè)備安全事件網(wǎng)絡(luò)設(shè)備安全事件數(shù)據(jù)庫系統(tǒng)安全事件基于安全事件原因的分類原則，安全事件分為：拒絕服務(wù)類安全事件

拒絕服務(wù)類安全事件是指由于惡意用戶利用擠占帶寬、消耗系統(tǒng)資源等攻擊方法使系統(tǒng)無法為正常用戶提供服務(wù)所引起的安全事件。系統(tǒng)漏洞類安全事件

系統(tǒng)漏洞類安全事件是指由于惡意用戶利用系統(tǒng)的安全漏洞對系統(tǒng)進行未授權(quán)的訪問或破壞所引起的安全事件。23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第8頁。網(wǎng)絡(luò)欺騙類安全事件

網(wǎng)絡(luò)欺騙類安全事件是指由于惡意用戶利用發(fā)送虛假電子郵件、建立虛假服務(wù)網(wǎng)站、發(fā)送虛假網(wǎng)絡(luò)消息等方法對系統(tǒng)或用戶進行未授權(quán)的訪問或破壞所引起的安全事件。23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第8頁。網(wǎng)絡(luò)竊聽類安全事件

網(wǎng)絡(luò)竊聽類安全事件是指由于惡意用戶利用以太網(wǎng)監(jiān)聽、鍵盤記錄等方法獲取未授權(quán)的信息或資料所引起的安全事件。數(shù)據(jù)庫注入類安全事件ligia

數(shù)據(jù)庫注入類安全事件是指由于惡意用戶通過提交特殊的參數(shù)從而達到獲取數(shù)據(jù)庫中存儲的數(shù)據(jù)、得到數(shù)據(jù)庫用戶的權(quán)限所引起的安全事件。惡意代碼類安全事件

惡意代碼類安全事件是指惡意用戶利用病毒、蠕蟲、特洛伊木馬等其他惡意代碼破壞網(wǎng)絡(luò)可用性或竊取網(wǎng)絡(luò)中數(shù)據(jù)所引起的安全事件。操作誤用類安全事件

操作誤用類安全事件是指合法用戶由于誤操作造成網(wǎng)絡(luò)或系統(tǒng)不能正常提供服務(wù)所引起的安全事件。在上面的分類中可能存在一個具體的安全事件同時屬于幾類的情況，比如，蠕蟲病毒引起的安全事件，就有可能同時屬于拒絕服務(wù)類的安全事件，系統(tǒng)漏洞類安全事件，和惡意代碼類安全事件。此時，應(yīng)根據(jù)安全事件特征的輕重緩急，來合理的選擇應(yīng)對的技術(shù)措施。仍然以蠕蟲病毒為例，在抑制階段，可能側(cè)重采用對抗拒絕服務(wù)攻擊的措施，控制蠕蟲傳播，疏通網(wǎng)絡(luò)流量，緩解病毒對業(yè)務(wù)帶來的壓力。在根除階段采用惡意代碼類安全事件的應(yīng)對措施孤立并清除被感染的病毒源。而在恢復(fù)階段，主要側(cè)重于消除被感染主機存在的安全漏洞，從而避免再次感染相同的蠕蟲病毒。隨著攻擊手段的增多，安全事件的種類需要不斷補充。八、安全事件應(yīng)急響應(yīng)安全事件應(yīng)急響應(yīng)是指針對已經(jīng)發(fā)生或可能發(fā)生的安全事件進行監(jiān)控、分析、協(xié)調(diào)、處理、保護資產(chǎn)安全屬性的活動。良好的安全事件響應(yīng)遵循事先制定的流程和技術(shù)規(guī)范。本文所指的安全事件應(yīng)急響應(yīng)特指對已經(jīng)發(fā)生的安全事件進行分析和處理的過程。安全事件應(yīng)急響應(yīng)工作的特點是高度的壓力，短暫的時間和有限的資源。應(yīng)急響應(yīng)是一項需要充分的準備并嚴密組織的工作。它必須避免不正確的和可能是災(zāi)難性的動作或忽略了關(guān)鍵步驟的情況發(fā)生。它的大部分工作應(yīng)該是對各種可能發(fā)生的安全事件制定應(yīng)急預(yù)案，并通過多種形式的應(yīng)急演練，不斷提高應(yīng)急預(yù)案的實際可操作性。具有必要技能和相當資源的應(yīng)急響應(yīng)組織是安全事件響應(yīng)的保障。參與具體安全事件應(yīng)急響應(yīng)的人員應(yīng)當不僅包括中國移動應(yīng)急組織的人員，還應(yīng)包括安全事件涉及到的業(yè)務(wù)系統(tǒng)維護人員、設(shè)備提供商、集成商和第三方安全應(yīng)急服務(wù)提供人員等，從而保證具有足夠的知識和技能應(yīng)對當前的安全事件。應(yīng)急響應(yīng)除了需要技術(shù)方面的技能外，還需要管理能力，相關(guān)的法律知識、溝通協(xié)調(diào)的技能、寫作技巧、甚至心理學的知識。在系統(tǒng)通常存在各種殘余風險的客觀情況下，應(yīng)急響應(yīng)是一個必要的保護策略。同時需要強調(diào)的是，盡管有效的應(yīng)急響應(yīng)可以在某種程度上彌補安全防護措施的不足，但不可能完全代替安全防護措施。缺乏必要的安全措施，會帶來更多的安全事件，最終造成資源的浪費。安全事件應(yīng)急響應(yīng)的目標通常包括：采取緊急措施，恢復(fù)業(yè)務(wù)到正常服務(wù)狀態(tài)；調(diào)查安全事件發(fā)生的原因，避免同類安全事件再次發(fā)生；在需要司法機關(guān)介入時，提供法律任何的數(shù)字證據(jù)等。23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第9頁。在規(guī)范中以安全事件應(yīng)急響應(yīng)6階段（PDCERF）方法學為主線介紹安全事件應(yīng)急響應(yīng)的過程和具體工作內(nèi)容。6階段（PDCERF）方法學不是安全事件應(yīng)急響應(yīng)唯一的方法，結(jié)合中國移動安全事件應(yīng)急響應(yīng)工作經(jīng)驗，在實際應(yīng)急響應(yīng)過程中，也不一定嚴格存在這6個階段，也不一定嚴格按照6階段的順序進行。但它是目前適用性較強的應(yīng)急響應(yīng)的通用方法學。它包括準備、檢測、抑制、根除、恢復(fù)和跟進6個階段。6階段方法學的簡要關(guān)系見下圖。23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第9頁。準備階段：準備階段是安全事件響應(yīng)的第一個階段，即在事件真正發(fā)生前為事件響應(yīng)做好準備。這一階段極為重要，因為事件發(fā)生時可能需要在短時間內(nèi)處理較多的事物，如果沒有足夠的準備，那么將無法正確的完成響應(yīng)工作。在準備階段請關(guān)注以下信息：基于威脅建立合理的安全保障措施建立有針對性的安全事件應(yīng)急響應(yīng)預(yù)案，并進行應(yīng)急演練為安全事件應(yīng)急響應(yīng)提供足夠的資源和人員建立支持事件響應(yīng)活動管理體系檢測階段：檢測是指以適當?shù)姆椒ù_認在系統(tǒng)/網(wǎng)絡(luò)中是否出現(xiàn)了惡意代碼、文件和目錄是否被篡改等異?；顒?現(xiàn)象。如果可能的話同時確定它的影響范圍和問題原因。在操作的角度來講，事件響應(yīng)過程中所有的后續(xù)階段都依賴于檢測，如果沒有檢測，就不會存在真正意義上的事件響應(yīng)。檢測階段是事件響應(yīng)的觸發(fā)條件。抑制階段：抑制階段是事件響應(yīng)的第三個階段，它的目的是限制攻擊/破壞所波及的范圍。同時也是限制潛在的損失。所有的抑制活動都是建立在能正確檢測事件的基礎(chǔ)上，抑制活動必須結(jié)合檢測階段發(fā)現(xiàn)的安全事件的現(xiàn)象、性質(zhì)、范圍等屬性，制定并實施正確的抑制策略。抑制策略可能包含以下內(nèi)容：完全關(guān)閉所有系統(tǒng)；從網(wǎng)絡(luò)上斷開主機或部分網(wǎng)絡(luò)；修改所有的防火墻和路由器的過濾規(guī)則；封鎖或刪除被攻擊的登陸賬號；加強對系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控；設(shè)置誘餌服務(wù)器進一步獲取事件信息；關(guān)閉受攻擊系統(tǒng)或其他相關(guān)系統(tǒng)的部分服務(wù)；根除階段：安全事件應(yīng)急響應(yīng)6階段方法論的第4階段是根除階段，即在準確的抑制事件后，找出事件的根源并徹底根除它，以避免攻擊者再次使用相同手段攻擊系統(tǒng)，引發(fā)安全事件。在根除階段中將需要利用到在準備階段中產(chǎn)生的結(jié)果。恢復(fù)階段：將事件的根源根除后，將進入恢復(fù)階段?；謴?fù)階段的目標是把所有被攻破的系統(tǒng)或網(wǎng)絡(luò)設(shè)備還原到它們正常的任務(wù)狀態(tài)。跟進階段：安全事件應(yīng)急響應(yīng)6階段方法論的最后一個階段是跟進階段，其目標是回顧并整合發(fā)生事件的相關(guān)信息。跟進階段也是6個階段中最可能被忽略的階段。但這一步也是非常關(guān)鍵的。該階段需要完成的原因有以下幾點：有助于從安全事件中吸取經(jīng)驗教訓，提高技能；有助于評判應(yīng)急響應(yīng)組織的事件響應(yīng)能力；23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第10頁。23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第10頁。準備階段/Prepairing準備階段/Prepairing檢測階段/Detection抑制階段/Control根除階段/Eradicate恢復(fù)階段/Restore跟進階段/Follow安全事件應(yīng)急響應(yīng)6階段方法論：九、文檔內(nèi)容概述本規(guī)范的主要內(nèi)容是應(yīng)急響應(yīng)技術(shù)規(guī)范，分別對應(yīng)急響應(yīng)流程中每個環(huán)節(jié)所用到的技術(shù)進行了闡述。整個文檔由正文和附件兩個文檔組成，其中正文部分以應(yīng)急響應(yīng)方法學的六個階段（準備、檢測、抑制、根除、恢復(fù)和跟進）為主線順序劃分章節(jié)，并對安全事件響應(yīng)過程中涉及的取證流程和工具進行了簡要的說明。附件部分是關(guān)于安全攻防的具體技術(shù)內(nèi)容。正文的主要內(nèi)容是：第一章，“準備階段”，主要闡述了準備階段為應(yīng)急響應(yīng)后續(xù)階段工作制作系統(tǒng)初始化狀態(tài)快照的相關(guān)內(nèi)容和技術(shù)，并以Windows、Solaris系統(tǒng)為例對安全初始化快照生成步驟做了詳細的說明，也闡述了Windows、Solaris、Oracle等系統(tǒng)的應(yīng)急處理工具包包含的內(nèi)容和制作要求做了詳細的說明。

建立安全保障措施、制定安全事件應(yīng)急預(yù)案，進行應(yīng)急演練等內(nèi)容不包含在本規(guī)范闡述的范圍之內(nèi)。第二章，“檢測階段”，詳細闡述了結(jié)合準備階段生成的系統(tǒng)初始化狀態(tài)快照檢測安全事件(系統(tǒng)安全事件、網(wǎng)絡(luò)安全事件、數(shù)據(jù)庫安全事件)相關(guān)內(nèi)容和技術(shù)，并以Windows、Solaris系統(tǒng)為例做了詳細的說明。

本規(guī)范不闡述通過入侵檢測系統(tǒng)、用戶投訴等其他途徑檢測安全事件的技術(shù)內(nèi)容。第三章，“抑制和根除階段”，闡述了各類安全事件(拒絕服務(wù)類攻擊、系統(tǒng)漏洞及惡意代碼類攻擊、網(wǎng)絡(luò)欺騙類攻擊、網(wǎng)絡(luò)竊聽類攻擊、數(shù)據(jù)庫SQL注入類攻擊)相應(yīng)的抑制或根除方法和技術(shù),并以Windows、Solaris系統(tǒng)為例做了詳細的說明。23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第11頁。第四章，“恢復(fù)階段”，說明了將系統(tǒng)恢復(fù)到正常的任務(wù)狀態(tài)的方式。詳細說明了兩種恢復(fù)的方式。一是在應(yīng)急處理方案中列明所有系統(tǒng)變化的情況下，直接刪除并恢復(fù)所有變化。二是在應(yīng)急處理方案中未列明所有系統(tǒng)變化的情況下，重裝系統(tǒng)。23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第11頁。第五章，“跟進階段”，為對抑制或根除的效果進行審計，確認系統(tǒng)沒有被再次入侵提供了幫助。并說明了跟進階段的工作要如何進行、在何時進行比較合適、具體的工作流程、要思考和總結(jié)的問題以及需要報告的內(nèi)容。第六章，“取證流程和工具”，取證工作提供了可參考的工作流程，并列舉了部分取證工具的使用方法。跟進跟進恢復(fù)抑制和根除檢測準備審計安裝、加固和系統(tǒng)初始化針對事件和檢測結(jié)果系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)庫事件系統(tǒng)快照、應(yīng)急響應(yīng)工具文檔結(jié)構(gòu)圖：取證盡管本規(guī)范和指南在寫作之初就做了全局性的規(guī)劃，內(nèi)容的組織形式不依賴于具體的攻擊情景，事件分類方法具有較完備的覆蓋性，從而可在一定程度上保證文檔內(nèi)容的穩(wěn)定性。本規(guī)范檔是以應(yīng)急響應(yīng)方法學為主線，突出通用的過程。但由于安全攻擊手段層出不窮，作者寫作時間和水平有限，本規(guī)范和指南還需要在今后結(jié)合中國移動的實際情況不斷對其進行補充和完善。23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第12頁。

1準備階段23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第12頁。主要闡述了準備階段為應(yīng)急響應(yīng)后續(xù)階段工作制作系統(tǒng)初始化狀態(tài)快照的相關(guān)內(nèi)容和技術(shù)，并以Windows、Solaris系統(tǒng)為例對安全初始化快照生成步驟做了詳細的說明，也闡述了Windows、Solaris、Oracle等系統(tǒng)的應(yīng)急處理工具包包含的內(nèi)容和制作要求做了詳細的說明。準備階段還應(yīng)包括的建立安全保障措施、制定安全事件應(yīng)急預(yù)案，進行應(yīng)急演練等內(nèi)容不包含在本規(guī)范闡述的范圍之內(nèi)，請參考中國移動相關(guān)規(guī)范。1.1概述1.1.1準備階段工作內(nèi)容準備階段的工作內(nèi)容主要有兩個，一是對信息系統(tǒng)進行初始化的快照。二是準備應(yīng)急響應(yīng)工具包。系統(tǒng)快照是信息系統(tǒng)進程、賬號、服務(wù)端口和關(guān)鍵文件簽名等狀態(tài)信息的記錄。通過在系統(tǒng)初始化或發(fā)生重要狀態(tài)改變后，在確保系統(tǒng)未被入侵的前提下，立即制作并保存系統(tǒng)快照，并在檢測的時候?qū)⒈４娴目煺张c信息系統(tǒng)當前狀態(tài)進行對比，是發(fā)現(xiàn)安全事件的一種重要途徑。系統(tǒng)快照系統(tǒng)快照是系統(tǒng)狀態(tài)的精簡化描述。在確保系統(tǒng)未被入侵的前提下，應(yīng)在以下時機由系統(tǒng)維護人員完成系統(tǒng)快照的生成和保存工作系統(tǒng)初始化安裝完成后系統(tǒng)重要配置文件發(fā)生更改后系統(tǒng)進行軟件升級后系統(tǒng)發(fā)生過安全入侵事件并恢復(fù)后在今后的安全檢測時，通過將最近保存的系統(tǒng)快照與當前系統(tǒng)快照進行仔細的核對，能夠快速、準確的發(fā)現(xiàn)系統(tǒng)的改變或異常。準備階段還應(yīng)包括建立安全保障措施、對系統(tǒng)進行安全加固，制定安全事件應(yīng)急預(yù)案，進行應(yīng)急演練等內(nèi)容。這些內(nèi)容不在本規(guī)范檔中進行詳細的闡述。主機系統(tǒng)快照，應(yīng)包括但并不限于以下內(nèi)容：系統(tǒng)進程快照；關(guān)鍵文件簽名快照；開放的對外服務(wù)端口快照；系統(tǒng)資源利用率的快照；注冊表快照；計劃任務(wù)快照；系統(tǒng)賬號快照；日志及審核策略快照。23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第13頁。以上內(nèi)容中的系統(tǒng)進程快照、關(guān)鍵文件簽名和系統(tǒng)賬號快照尤為重要，一般入侵事件均可通過此三項快照的關(guān)聯(lián)分析查找獲得重要信息。23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第13頁。網(wǎng)絡(luò)設(shè)備快照應(yīng)包括但并不限于以下內(nèi)容：路由快照；設(shè)備賬號快照；系統(tǒng)資源利用率快照；數(shù)據(jù)庫系統(tǒng)快照照應(yīng)包括但并不限于以下內(nèi)容：開啟的服務(wù)所有用戶及所具有的角色及權(quán)限概要文件數(shù)據(jù)庫參數(shù)所有初始化參數(shù)應(yīng)急響應(yīng)工具包應(yīng)急工具包是指網(wǎng)絡(luò)與信息安全應(yīng)急事件處理過程中將使用工具集合。該工具包應(yīng)由安全技術(shù)人員及時建立，并定時更新。使用應(yīng)急響應(yīng)工具包中的工具所產(chǎn)生的結(jié)果將是網(wǎng)絡(luò)與信息安全應(yīng)急事件處理過程中的可信基礎(chǔ)。本規(guī)范結(jié)合中國移動實際工作情況，具體說明了Windows應(yīng)急響應(yīng)工具包和Unix/Linux應(yīng)急響應(yīng)工具包。工具包應(yīng)盡量放置在不可更改的介質(zhì)上，如只讀光盤。1.1.2準備階段工作流程第一步：系統(tǒng)維護人員按照系統(tǒng)的初始化策略對系統(tǒng)進行安裝和配置加固第二步：系統(tǒng)維護人員對安裝和配置加固后的系統(tǒng)進行自我檢查，確認是否加固完成第三步：系統(tǒng)維護人員建立系統(tǒng)狀態(tài)快照第四步：系統(tǒng)維護人員對快照信息進行完整性簽名，以防止快照被非法篡改第五步：系統(tǒng)維護人員將快照保存在與系統(tǒng)分離的存儲介質(zhì)上23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第14頁。對系統(tǒng)進行安裝和配置加固23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第14頁。對系統(tǒng)進行安裝和配置加固自我檢查，確認是否加固完成建立和保存系統(tǒng)狀態(tài)快照對快照進行完整性簽名快照保存準備階段流程圖：1.1.3準備階段操作說明1) 對系統(tǒng)的影響：本章操作不會對系統(tǒng)造成影響，在系統(tǒng)正常運行情況下執(zhí)行各個步驟；2) 操作的復(fù)雜度(容易/普通/復(fù)雜/)：容易；3) 操作效果：對執(zhí)行后的結(jié)果必須保存到不可更改的存儲介質(zhì)；4) 操作人員：各操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備的系統(tǒng)維護人員1.2主機和網(wǎng)絡(luò)設(shè)備安全初始化快照1、Windows安全初始化快照生成帳號快照；生成進程快照；生成服務(wù)快照；生成自啟動快照；生成文件簽名快照；生成網(wǎng)絡(luò)連接快照；生成共享快照；生成定時作業(yè)快照；生成注冊表快照；保存所有快照到光盤內(nèi)2、Unix安全初始化快照獲得所有setuid和setgid的文件列表；獲得所有的隱藏文件列表；獲得初始化進程列表；獲得開放的端口列表獲得開放的服務(wù)列表；獲得初始化passwd文件信息；獲得初始化shadow文件信息；獲得初始化的不能ftp登陸的用戶信息；獲得初始化的用戶組信息；獲得初始化的/etc/hosts文件信息；獲得初始化的/etc/default/login文件信息；獲得/var/log目錄下的初始化文件列表信息；獲得/var/adm目錄下的初始化文件列表信息；獲得初始化計劃任務(wù)列表文件；獲得初始化加載的內(nèi)核模塊列表；獲得初始化日志配置文件/etc/syslog.conf信息；獲得初始化md5校驗和信息；保存所有快照到光盤內(nèi)。3、網(wǎng)絡(luò)設(shè)備安全初始化快照獲取用戶訪問線路列表；23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第15頁。獲取用戶權(quán)限信息列表；23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第15頁。獲取開放端口列表；獲取路由表；獲取訪問控制列表；獲取路由器CPU狀態(tài)；保存所有信息到光盤內(nèi)。4、數(shù)據(jù)庫安全初始化快照獲取Oracle數(shù)據(jù)庫用戶信息；獲取DEFAULT概要文件信息；獲取數(shù)據(jù)庫參數(shù)信息；獲取Oracle其他初始化參數(shù)信息；保存所有信息到光盤內(nèi)。5、安全加固及系統(tǒng)備份1.2.1Windows安全初始化快照1、獲取帳號信息：說明：Windows2000Server缺省安裝后有五個帳號，其中兩個帳號是IIS帳號，一個是安裝了終端服務(wù)的終端用戶帳號，如果系統(tǒng)維護人員自己創(chuàng)建了帳號，也要記錄在案。操作方法：使用netuser命令（Windows系統(tǒng)自帶）可以列舉出系統(tǒng)當前帳號。附加信息：Windows2000Server缺省安裝后的五個帳號名稱：Administrator：默認系統(tǒng)維護人員帳號Guest：來賓用戶帳號IUSR_機器名：IIS來賓帳號IWAM_機器名：啟動IIS的進程帳號TsInternetUser：終端用戶帳號2、獲取進程列表：說明：系統(tǒng)維護人員應(yīng)在系統(tǒng)安裝配置完成后對系統(tǒng)進程做快照。操作方法：通過使用pslist命令(第三方工具，下載)，能夠列舉當前進程建立快照。使用Widnows任務(wù)管理器（Windows系統(tǒng)自帶）也可以列舉出當前進程，但推薦使用pslist工具。附加信息：請參見附錄1察看Windows2000Server系統(tǒng)進程名及對應(yīng)功能。3、獲取服務(wù)列表：說明：系統(tǒng)維護人員應(yīng)在系統(tǒng)安裝配置完成后對系統(tǒng)服務(wù)做服務(wù)快照。操作方法：使用scquerystate=all命令格式（Windows資源工具箱中的工具）可以列舉出系統(tǒng)當前服務(wù)信息。附加信息：請參見附錄2察看Windows2000Server系統(tǒng)服務(wù)。4、獲取自啟動程序信息：23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第16頁。說明：Windows2000Server缺省安裝后并無自啟動項目。如果系統(tǒng)維護人員自己安裝了某些軟件，比如Office，打印機等等，缺省情況下將被添加到自啟動目錄中。23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第16頁。操作方法：檢查各用戶目錄下的“「開始」菜單\程序\啟動”目錄5、獲取系統(tǒng)關(guān)鍵文件簽名：說明：Windows2000Server缺省安裝后，系統(tǒng)維護人員應(yīng)利用md5sum工具，對系統(tǒng)重要文件生成系統(tǒng)MD5快照，然后將這些簽名信息保存在安全的服務(wù)器上，以后可做文件對比。操作方法：使用md5sum.exe命令（第三方工具，/下載）可對系統(tǒng)文件進行MD5快照。使用方法：md5sum[FILE]...（后面可跟多個文件）。附加信息：建議用戶對以下二進制文件和動態(tài)連接庫文件進行MD5SUM快照。#windir\EXPLORER.EXE#windir\REGEDIT.EXE#windir\NOTEPAD.EXE#windir\TASKMAN.EXE#windir\system32\cmd.exe#windir\system32\net.exe#windir\system32\ftp.exe#windir\system32\tftp.exe#windir\system32\at.exe#windir\system32\netstat.exe#windir\system32\ipconfig.exe#windir\system32\arp.exe#windir\system32\KRNL386.EXE#windir\system32\WINLOGON.EXE#windir\system32\TASKMGR.EXE#windir\system32\runonce.exe#windir\system32\rundll32.exe#windir\system32\regedt32.exe#windir\system32\notepad.exe#windir\system32\CMD.EXE#windir\system\COMMDLG.DLL#windir\system32\HAL.DLL#windir\system32\MSGINA.DLL#windir\system32\WSHTCPIP.DLL#windir\system32\TCPCFG.DLL#windir\system32\EVENTLOG.DLL#windir\system32\COMMDLG.DLL#windir\system32\COMDLG32.DLL#windir\system32\COMCTL32.DLL6、獲取網(wǎng)絡(luò)連接信息：說明：Windows2000缺省情況下系統(tǒng)開放135/139/445/1025TCP端口，開放137/138/445UDP端口。如果安裝了MSSQL服務(wù)器，還開放TCP1433/UDP1434端口，如果安裝了IIS服務(wù)器還將開放TCP80端口。23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第17頁。操作方法：使用netstat–23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第17頁。附加信息：建議使用netstat–an命令（Windows系統(tǒng)自帶）快照出系統(tǒng)開放端口和正常連接。7、獲取共享信息：說明：Windows2000Server缺省情況下開放各磁盤共享，如C$，遠程管理共享(admin$)和遠程IPC共享(IPC$)，如果用戶另外打開了其它目錄文件的共享，請記錄在案。操作方法：使用netshare命令（Windows系統(tǒng)自帶）建立共享快照。附加信息：Windows2000Server缺省共享共享名資源注釋D$D:\默認共享ADMIN$D:\WINNT遠程管理C$C:\默認共享IPC$遠程IPC8、獲取定時作業(yè)信息：說明：Windows2000Server缺省安裝后并無定時作業(yè)。如果系統(tǒng)維護人員自己設(shè)置了某些軟件，請記錄在案。建議系統(tǒng)維護人員使用at命令建立定時作業(yè)快照。操作方法：使用at命令（Windows系統(tǒng)自帶）建立定時作業(yè)快照。附加信息：無

9、獲取注冊表信息：說明：在對Windows2000Server安裝了必要的軟件后,可對注冊表關(guān)鍵鍵值進行快照，供以后在檢測時進行注冊表對比。操作方法：使用regdmp命令（Windows資源工具箱）可以對注冊表進行快照。附加信息：可以進行注冊表快照有多種方法，例如使用第三方軟件，比如Regshot、Regsnap等。在Windows注冊表編輯器中也可以對注冊表進行備份和快照。另外，微軟的資源工具箱中的regdmp命令也可以用來進行注冊表快照工作。直接在命令下運行該命令及需要備份的鍵值即可，比如：C:\tools\MS>regdmpHKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN建議系統(tǒng)維護人員對下面的關(guān)鍵鍵值進行快照。HKEY_LOCAL_MACHINES\System\CurrentControlSet\Control\SessionManager\KnownDLLsHKEY_LOCAL_MACHINES\System\ControlSet001\Control\SessionManager\KnownDLLsHKEY_LOCAL_MACHINES\Software\Micrsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINES\Software\Micrsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINES\Software\Micrsoft\Windows\CurrentVersion\RunOnceExHKEY_LOCAL_MACHINES\Software\Micrsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL_MACHINES\Software\Micrsoft\WindowsNT\CurrentVersion\Windows(“run=”line)HKEY_LOCAL_MACHINES\sam\samHKEY_CURRENT_USER\Software\Micrsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Micrsoft\Windows\CurrentVersion\RunOnceHKEY_CURRENT_USER\Software\Micrsoft\Windows\CurrentVersion\RunOnceEx23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第18頁。HKEY_CURRENT_USER\Software\Micrsoft\Windows\CurrentVersion\RunServices23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第18頁。HKEY_CURRENT_USER\Software\Micrsoft\WindowsNT\CurrentVersion\Windows(“run=”line)1.2.2Unix安全初始化快照Solaris安全初始化快照以Solaris8為例：1、獲取所有setuid和setgid的文件列表命令:#find/-typef\(-perm-04000-o-perm-02000\)–print查找系統(tǒng)中所有的帶有suid位和sgid位的文件2、獲取所有的隱藏文件列表命令:#find/-name".*"–print查找所有以”.”開頭的文件并打印出路徑3、獲取初始化進程列表命令:#ps–ef說明：UID:進程所有者的用戶idPID:進程idPPID:父進程的進程idC:CPU占用率STIME:以小時、分和秒表示的進程啟動時間TIME:進程自從啟動以后占用CPU的全部時間CMD:生成進程的命令名4、獲取開放的端口列表命令:#netstat–an5、獲取開放的服務(wù)列表命令:#cat/etc/inetd.conf具體內(nèi)容請參見附錄6：Solaris的inetd.conf初始化主要內(nèi)容6、獲取初始化passwd文件信息命令:#cat/etc/passwd說明:如果發(fā)現(xiàn)一些系統(tǒng)賬號(如bin,sys)加上了shell部分，就說明有問題,下面是正常的passwd文件，bin、sys、adm等系統(tǒng)帳號沒有shell.bin:x:2:2::/usr/bin:sys:x:3:3::/:adm:x:4:4:Admin:/var/adm:7、獲取初始化shadow文件信息23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第19頁。命令:#cat/etc/shadow23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第19頁。說明:如果發(fā)現(xiàn)一些系統(tǒng)賬號的密碼被更改了,或者不可登錄的用戶有密碼了,就說明該賬號可能有問題了。sys:CVLoXsQvCgK62:6445::::::adm:CVLoXsQvCgK62:6445::::::8、獲取初始化的不能ftp登陸的用戶信息命令:#catftpusers說明:在這個列表里邊的用戶名是不允許ftp登陸的。如果列表改變了，有可能是被入侵者改動過。rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody49、獲取初始化的用戶組信息命令:#cat/etc/group說明:這是系統(tǒng)用戶的分組情況root::0:rootother::1:bin::2:root,bin,daemonsys::3:root,bin,sys,admadm::4:root,adm,daemonuucp::5:root,uucpmail::6:roottty::7:root,tty,admlp::8:root,lp,admnuucp::9:root,nuucpstaff::10:daemon::12:root,daemonsysadmin::14:nobody::60001:noaccess::60002:nogroup::65534:10、獲取初始化的/etc/hosts文件信息23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第20頁。命令:#cathosts23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第20頁。##Internethosttable#localhost80Solaris8x86loghost11、獲取初始化的/etc/default/login文件信息命令:#cat/etc/default/login說明:這里是用戶登陸的配置文件的一部分，如控制root能否從控制臺以外的地方登陸#ident"@(#)login.dfl1.1099/08/04SMI"/*SVr4.0*/#SettheTZenvironmentvariableoftheshell.##TIMEZONE=EST5EDT#ULIMITsetsthefilesizelimitforthelogin.Unitsarediskblocks.#Thedefaultofzeromeansnolimit.##ULIMIT=0#IfCONSOLEisset,rootcanonlyloginonthatdevice.#Commentthislineouttoallowremoteloginbyroot.#CONSOLE=/dev/console#現(xiàn)在root是不能遠程登錄的#PASSREQdeterminesifloginrequiresapassword.#PASSREQ=YES12、獲取/var/log目錄下的初始化文件列表信息命令:#ls-la/var/log說明:這些日志是和/etc/syslog.conf配置文件中的日志相對應(yīng)的total8drwxr-xr-x2rootsys512Jan1203:54.drwxr-xr-x28rootsys512Jan1204:28..-rw1rootsys0Jan1203:46authlog-rw-r--r--1rootother424Jan1204:28sysidconfig.log-rw-r--r--1rootsys766Jan1204:57syslog13、獲取/var/adm目錄下的初始化文件列表信息命令:#ls-la/、var/adm說明:這些日志是和/etc/syslog.conf配置文件中的日志相對應(yīng)的total114drwxrwxr-x6rootsys512Jan1205:11.drwxr-xr-x28rootsys512Jan1204:28..-rw1uucpbin0Jan1203:46aculog-r--r--r--1rootother2828Jan1205:08lastlog23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第21頁。drwxr-xr-x2admadm512Jan1203:46log23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南全文共90頁，當前為第21頁。-rw-r--r--1rootroot25859Jan1204:57messagesdrwxr-xr-x2admadm512Jan1203:46passwddrwxr-xr-x2rootsys512Jan1203:55sm.bin-rw-rw-rw-1root