2024網(wǎng)絡(luò)安全應(yīng)急響應(yīng)培訓

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)培訓應(yīng)急響應(yīng)的形式遠程應(yīng)急響應(yīng)服務(wù)本地應(yīng)急響應(yīng)服務(wù)應(yīng)急分類網(wǎng)站入侵應(yīng)急主機入侵應(yīng)急互相傷害網(wǎng)站篡改網(wǎng)站癱瘓頁面掛馬…木馬病毒后門攻擊異常登陸…事件分類Web入侵：掛馬、篡改、Webshell系統(tǒng)入侵：系統(tǒng)異常、RDP爆破、SSH爆破、主機漏洞病毒木馬：遠控、后門、勒索軟件信息泄漏：刷庫、數(shù)據(jù)庫登錄（弱口令）網(wǎng)絡(luò)流量：頻繁發(fā)包、批量請求、DDOS攻擊應(yīng)急響應(yīng)一般流程事件發(fā)現(xiàn)定位分析恢復(fù)加固用戶報告管理檢測IDS報警其他方式信息核實證據(jù)取證定位問題攻擊分析恢復(fù)業(yè)務(wù)漏洞加固事件總結(jié)報告整理如何做應(yīng)急響應(yīng)確定攻擊時間查找攻擊線索梳理攻擊流程實施解決方案定位攻擊者入侵信息核實明確入侵網(wǎng)址/主機詳情跟蹤事件發(fā)現(xiàn)人了解事件發(fā)生特性核實網(wǎng)絡(luò)結(jié)構(gòu)或系統(tǒng)框架確定事件發(fā)生時間知悉事件發(fā)生后處理辦法記錄相關(guān)人員聯(lián)系方法重要的事情要說三遍三遍三遍三遍三遍三遍三遍三遍排查思路文件分析文件日期、新增文件、可疑/異常文件、最近使用文件、瀏覽器下載文件Webshell排查與分析，核心應(yīng)用關(guān)聯(lián)目錄文件分析進程分析當前活動進程&遠程連接，啟動進程&計劃任務(wù)，服務(wù)服務(wù)系統(tǒng)信息環(huán)境變量/賬號信息/History/系統(tǒng)配置文件日志分析操作系統(tǒng)日志數(shù)據(jù)收集查看賬戶信息檢查補丁情況查看系統(tǒng)日志查看注冊表/服務(wù)（Win）查看用戶連接狀況查看賬戶登錄狀況搜索近期修改文件查看網(wǎng)站日志檢查數(shù)據(jù)庫修改情況查看進程檢查防護設(shè)備日志netusercat/etc/passwdSysteminfo

uname-a

運行-eventvwr運行-regedit/services.mscnetstatnetstat

quserwho/last

用眼睛/工具（lchangedfiles）find/-ctime-1-print

應(yīng)用服務(wù)log目錄應(yīng)用服務(wù)log目錄

數(shù)據(jù)庫日志

任務(wù)管理器ps-aux

沒錯，就是查看它的日志/var/log/message系統(tǒng)啟動后的信息和錯誤日志，/var/log/secure與安全相關(guān)的日志信息/var/log/maillog

與郵件相關(guān)的日志信息/var/log/cron

與定時任務(wù)相關(guān)的日志信息/var/log/spoolerUUCP和news設(shè)備相關(guān)日志信息/var/log/boot.log進程啟動和停止相關(guān)的日志消息.bash_history命令行歷史記錄信息收集留意1.在查詢用戶的過程中要留意隱藏賬戶的信息

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names2.判斷是否為惡意進程或者服務(wù)部分可通過描述或者發(fā)布者進行判斷應(yīng)用系統(tǒng)類Apache、tomcat、Nginx、IIS的Web日志類無論任何web服務(wù)器其實日志需要關(guān)注的東西是一致的，即access_log和error_log。MysqlMSSQL數(shù)據(jù)庫類檢查mysql\lib\plugin目錄沒有發(fā)現(xiàn)異常文件（參考UDF提權(quán)）Mysql:select*frommysql.funcMSSQL，檢查xp_cmdshell等存儲過程正常與否應(yīng)用類

在對WEB日志進行安全分析時，按照下面兩種思路展開逐步深入，還原整個攻擊過程。一.確定攻擊范圍二.確定特征文件Windows下常用的工具工具主要功能PCHunter/火絨劍可查看進程、內(nèi)核、服務(wù)等Dos命令查看信息wireshark分析數(shù)據(jù)流量日志安全分析工具日志安全分析工具能夠?qū)θ罩具M行安全分析，可快速從日志中發(fā)現(xiàn)可疑的惡意攻擊行為D盾/河馬/殺毒軟件可以檢查服務(wù)器指定目錄中可能存在的Webshell文件以及惡意文件指定漏洞的檢測工具Linux下常用的工具工具主要功能Dos命令查看信息Chkrootkit/rootkithunter查找檢測rootkit后門的工具Grep/find命令查找一句話木馬（<?phpeval($_post[cmd]);?>假設(shè)網(wǎng)站的目錄為/app/website/，我們需要查看該目錄下是否包含該形式的一句話木馬文件：方法1：$grep-i–reval\(\$_post/app/website/*

其中-i表示不區(qū)分大小寫，-r表示搜索指定目錄及其子目錄方法2:$find/app/website/-typef|xargsgrepeval\(\$_post

xargs將find搜索出的文件名稱變成grep后面需要的參數(shù)數(shù)據(jù)分析

針對收集到的賬戶信息、文件修改情況、系統(tǒng)日志、網(wǎng)站日志等進行綜合分析和歸納，確認是否存在以下情況：系統(tǒng)含有非法賬號系統(tǒng)中含有異常服務(wù)程序系統(tǒng)部分文件被篡改，或發(fā)現(xiàn)有新的文件系統(tǒng)安全日志中有非正常登陸情況網(wǎng)站日志中有非授權(quán)地址訪問管理頁面記錄數(shù)據(jù)分析通過異常文件的創(chuàng)建和修改時間，一般可以判斷攻擊者對網(wǎng)站進行入侵的時間段；對異常服務(wù)或進程的追蹤，可以查找惡意文件，確認攻擊后的后門，以及攻擊時間；網(wǎng)站目錄下的異常文件，對判斷攻擊手段具有參考意義；網(wǎng)站訪問日志可以對攻擊手段、時間和攻擊源地址的追蹤提供有力的證據(jù)。系統(tǒng)安全日志中的登錄信息同樣可以用于判斷攻擊者來源。實戰(zhàn)操作幾個第一個栗子接到某客戶通知，一臺主機遭到入侵，并且安裝惡意軟件，該IP地址為37，不停的向國內(nèi)某一IP進行DDOS攻擊。并且在網(wǎng)站目錄存放了攻擊工具第一個栗子首先檢查了目標的是否存在惡意進程，服務(wù)，啟動項，無影響，在用戶信息發(fā)現(xiàn)情況，發(fā)現(xiàn)一個可疑用戶administratorr用戶。第一個栗子接下來檢測目標機器開放端口的情況，發(fā)現(xiàn)該機器開放了3389端口。第一個栗子檢查windows安全日志，發(fā)現(xiàn)12點42分在登陸日志上發(fā)現(xiàn)存在暴力破解行為。于2點10分成功登陸到administrator用戶。第一個栗子同時進行了添加用戶的操作，加入管理員組，并進行了新用戶登錄。第一個栗子在行為管理器的日志上查看，通過新創(chuàng)建的用戶，P2P遠程下載了攻擊軟件.第二個栗子接到某客戶通知，他們遭到了入侵，并且被刪除了一組數(shù)據(jù)，相關(guān)的數(shù)據(jù)庫日志等等進行了清除處理。IP：00測試環(huán)境IP：00核心部署環(huán)境隔離隔離SSHSSH數(shù)據(jù)刪除第二個栗子現(xiàn)有證據(jù)，存在secure.log，日志顯示上，攻擊為如下SSHSSH第二個栗子IP：00測試環(huán)境IP：00核心部署環(huán)境隔離隔離SSHSSH數(shù)據(jù)刪除我們有策略，外網(wǎng)無法ssh內(nèi)網(wǎng)，1網(wǎng)段無法ssh2網(wǎng)段是不是外網(wǎng)入侵，內(nèi)網(wǎng)滲透提權(quán)啥的第二個栗子從外網(wǎng)通過SSH連接到測試服務(wù)器機器，在通過SSH連接到部署服務(wù)器機器，在測試服務(wù)器上的.history記錄上發(fā)現(xiàn)了通過ssh的情況，證實他們說的有問題。所以，這次只是一個服務(wù)策略沒做好。的一個通過ssh從外連接，在內(nèi)部二次ssh連接到指定機器進行操作第二個栗子其中的連接外網(wǎng)連接IP為，時間發(fā)生在9點28分，成功接入內(nèi)部。通過secure的連接日志，發(fā)現(xiàn)登陸用戶均為sxit用戶，據(jù)了解。這是他們該應(yīng)用系統(tǒng)的第三