2024網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)指南大全

網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)指南網(wǎng)絡(luò)信息安全應(yīng)急流程概述網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)Linux應(yīng)急手冊(cè)網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)windows網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)案例介紹網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)概述網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)數(shù)據(jù)庫應(yīng)急手冊(cè)網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)中間件應(yīng)急手冊(cè)應(yīng)急響應(yīng)指南概述我們要做什么目錄 1我們要做什么contents23

應(yīng)急響應(yīng)概述相關(guān)法律法規(guī)應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)綜述計(jì)算機(jī)安全事件是指由于自然或者人為，以及軟硬件本身缺陷或故障的原因，對(duì)信息系統(tǒng)造成危害，或者在信息系統(tǒng)內(nèi)發(fā)生對(duì)社會(huì)造成負(fù)面影響的事件。常見的一些計(jì)算機(jī)安全事件如：竊取商業(yè)機(jī)密垃圾郵件或郵件騷擾；對(duì)計(jì)算機(jī)系統(tǒng)的未授權(quán)訪問或非法入侵；盜用；擁有或分發(fā)非法內(nèi)容（例如色情等）；拒絕服務(wù)（DoS、DDoS）攻擊；商業(yè)關(guān)系的侵權(quán)沖突；敲詐；不當(dāng)使用；其證據(jù)可存儲(chǔ)在計(jì)算機(jī)介質(zhì)中的任何非法行為（如欺騙、恐嚇）等。導(dǎo)致安全事件的原因大型企業(yè)的業(yè)務(wù)模式多，對(duì)外暴露的服務(wù)也多。由于對(duì)外暴露的服務(wù)多，導(dǎo)致被攻擊的面也會(huì)擴(kuò)大。黑產(chǎn)團(tuán)伙每天都會(huì)利用秒殺型漏洞批量掃描全網(wǎng)IP除了做黑產(chǎn)，還有可能會(huì)遇到APT……應(yīng)急響應(yīng)對(duì)應(yīng)的英文是IncidentResponse或EmergencyResponse”等，通常是指一個(gè)組織為了應(yīng)對(duì)各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。應(yīng)急響應(yīng)目標(biāo)我們要做什么目錄 1我們要做什么contents13

應(yīng)急響應(yīng)概述相關(guān)法律法規(guī)應(yīng)急響應(yīng)流程法律法規(guī)、政策要求（一）國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案（二）GB/Z20985-2007（三）GB/T20986-2007（四）GB/T20988-2007信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范（五）GB/T24363-2009信息安全技術(shù)信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范（六）GBT28517-2012網(wǎng)絡(luò)安全事件描述和交換格式……法律法規(guī)、政策要求應(yīng)急事件分類復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。蠕蟲事件：指網(wǎng)絡(luò)蠕蟲，其表現(xiàn)形式為，內(nèi)外網(wǎng)主機(jī)遭受惡意代碼破壞或從外網(wǎng)發(fā)起對(duì)網(wǎng)絡(luò)的蠕蟲感染。個(gè)是被控制端。之間所形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)。到錯(cuò)誤的地址從而實(shí)現(xiàn)用戶無法訪問目標(biāo)網(wǎng)站的目的。騙取用戶的賬號(hào)和密碼等信息，從而竊取錢財(cái)。網(wǎng)頁篡改事件：是指攻擊者已經(jīng)獲取了網(wǎng)站的控制權(quán)限，將網(wǎng)頁篡改為非本網(wǎng)站的頁面。應(yīng)急事件分類事件。拒絕服務(wù)攻擊事件：拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)，是黑客常用的攻擊手段之一。的后門程序。統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。垃圾郵件事件：是指未經(jīng)用戶許可（與用戶無關(guān)）就強(qiáng)行發(fā)送到用戶的郵箱中的任何電子郵件。其他網(wǎng)絡(luò)安全事件：其它未在上述定義的網(wǎng)絡(luò)安全事件。應(yīng)急事件分級(jí)對(duì)信息安全事件的分級(jí)主要考慮三個(gè)要素：信息系統(tǒng)的重要程度主要考慮信息系統(tǒng)所承載的業(yè)務(wù)對(duì)國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活的重要性以及業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度，劃分為：特別重要信息系統(tǒng)應(yīng)急事件分級(jí)分級(jí)要素-系統(tǒng)損失

對(duì)信息安全事件的分級(jí)主要考慮三個(gè)要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響。分級(jí)要素-社會(huì)影響

對(duì)信息安全事件的分級(jí)主要考慮三個(gè)要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響。應(yīng)急事件分級(jí)我們要做什么目錄 1我們要做什么contents21

應(yīng)急響應(yīng)概述相關(guān)法律法規(guī)應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)流程-準(zhǔn)備階段應(yīng)急響應(yīng)的準(zhǔn)備是整個(gè)應(yīng)急響應(yīng)過程有效性的保證。因此，在應(yīng)急響應(yīng)實(shí)施前，應(yīng)該：進(jìn)行調(diào)研分析；確定應(yīng)急響應(yīng)的目標(biāo)；簽署應(yīng)急響應(yīng)服務(wù)承諾書；應(yīng)急響應(yīng)工具準(zhǔn)備及更新維護(hù)；組建適當(dāng)?shù)墓芾砼c實(shí)施團(tuán)隊(duì)；制定預(yù)防和預(yù)警機(jī)制；應(yīng)急響應(yīng)流程-檢測(cè)階段確定應(yīng)急處理方案明確檢測(cè)范圍與檢測(cè)行為規(guī)范預(yù)測(cè)應(yīng)急處理方案可能造成的影響應(yīng)急響應(yīng)流程-抑制階段明確抑制處理的目的明確抑制處理帶來的風(fēng)險(xiǎn)抑制處理方案應(yīng)急抑制的目的是限制安全事件對(duì)受保護(hù)信息系統(tǒng)造成影響的范圍和程度。應(yīng)急抑制是信息安全應(yīng)急響應(yīng)工作中的重要環(huán)節(jié)。在信息安全事件發(fā)生的第一時(shí)間內(nèi)對(duì)故障系統(tǒng)或區(qū)域?qū)嵤┯行У母綦x和處理，或者根據(jù)所擁有的資源狀況和事件的等級(jí)，采用臨時(shí)切換到備份系統(tǒng)等措施降低事件損失、避免安全事件的擴(kuò)散（例如蠕蟲的大規(guī)模傳播）和安全事件對(duì)受害系統(tǒng)的持續(xù)性破壞，有利于應(yīng)急響應(yīng)工作人員對(duì)安全事件做出迅速、準(zhǔn)確的判斷并采取正確的應(yīng)對(duì)策略。應(yīng)急抑制過程中，重要的是確保業(yè)務(wù)連續(xù)性，應(yīng)盡量保證在備份系統(tǒng)中完全運(yùn)行原來的業(yè)務(wù)。如果出現(xiàn)資源緊張，應(yīng)盡可能保證重要資產(chǎn)優(yōu)先運(yùn)行，維持最基本的業(yè)務(wù)能力。將檢測(cè)到的結(jié)果跟客戶進(jìn)行充分溝通，告知客戶目前面臨的主要問題，及處理方法。應(yīng)急響應(yīng)流程-根除階段確定根除方案明確風(fēng)險(xiǎn)事件根除記錄應(yīng)急響應(yīng)流程-恢復(fù)階段數(shù)據(jù)備份安裝新操作系統(tǒng)配置基線及訪問控制應(yīng)急響應(yīng)流程-跟進(jìn)階段從安全事件中吸取經(jīng)驗(yàn)教訓(xùn)非常關(guān)鍵，不停的自我完善的防護(hù)體系和策略才是最好的安全設(shè)計(jì)思路。將每次安全事故的表現(xiàn)和處理步驟發(fā)布在內(nèi)部的信息安全發(fā)布站點(diǎn)上，方便以后內(nèi)部出現(xiàn)同樣攻擊事件后處理。對(duì)于內(nèi)部需要改善和做出調(diào)整的安全配置在內(nèi)部網(wǎng)絡(luò)中及時(shí)發(fā)布更新策略。Thanks應(yīng)急響應(yīng)指南應(yīng)急流程概述目錄contents

應(yīng)急響應(yīng)流程概述我們要做什么各類事件流程樣例我們要做什么應(yīng)急概述應(yīng)急概述：事件定性典型Web系統(tǒng)網(wǎng)絡(luò)架構(gòu)應(yīng)急概述：攻擊過程應(yīng)急概述：攻擊手法應(yīng)急概述：攻擊手法應(yīng)急概述：攻擊手法應(yīng)急概述：還原手法目錄 1contents 應(yīng)急響應(yīng)流程概述我們要做什么1 各類事件流程樣例我們要做什么應(yīng)急響應(yīng)涉及面應(yīng)急響應(yīng)操作系統(tǒng)OS中間件Middleware數(shù)據(jù)庫DataBase網(wǎng)絡(luò)流量NetFlow網(wǎng)絡(luò)&Net&SecDevice

Windows LinuxIIS、Tomcat、Jboss、weblogic、websphere……Mysql、Sqlserver、Oracle、Redis……HTTP(S)、TCP、UDP、專有協(xié)議……交換機(jī)、防火墻、IDS/IPS、態(tài)勢(shì)感知……勒索病毒應(yīng)急流程挖礦木馬應(yīng)急流程網(wǎng)絡(luò)攻擊應(yīng)急流程數(shù)據(jù)泄露應(yīng)急流程網(wǎng)頁篡改應(yīng)急流程應(yīng)急響應(yīng)涉及面應(yīng)急響應(yīng)操作系統(tǒng)OS中間件Middleware數(shù)據(jù)庫DataBase網(wǎng)絡(luò)流量NetFlow網(wǎng)絡(luò)&Net&SecDevice

Windows LinuxIIS、Tomcat、Jboss、weblogic、websphere……Mysql、Sqlserver、Oracle、Redis……HTTP(S)、TCP、UDP、專有協(xié)議……交換機(jī)、防火墻、IDS/IPS、態(tài)勢(shì)感知……Thanks應(yīng)急響應(yīng)指南Linux應(yīng)急我們要做什么目錄 1我們要做什么contents2

Linux手工檢查項(xiàng)Linux檢查工具手工檢查項(xiàng)總結(jié)1、系統(tǒng)檢查項(xiàng)1、查看系統(tǒng)版本：lsb_releasea//適用所有Linux發(fā)行版(RedHat、SUSE、Debian…)/etc/issue//適用所有Linux發(fā)行版/etc/redhat-release//適用系的Linux/etc/os-release2、查看系統(tǒng)內(nèi)核版本：1）cat/proc/version2）uname-a2、賬號(hào)檢查項(xiàng)1、用戶信息文件/etc/passwdroot:x:0:0:root:/root:/bin/bash用戶名：密碼：用戶ID：組ID：用戶說明：家目錄：登陸之后shell注:超級(jí)用戶ID=0，普通用戶ID=500-，偽用戶ID=1-499除root帳號(hào)外，其他帳號(hào)是否存在sudo權(quán)限。如非管理需要，普通帳號(hào)應(yīng)刪除sudo權(quán)限。賬號(hào)檢查項(xiàng)last #顯示所有用戶最近登陸信息，默認(rèn)讀取/var/log/wtmp日志文件。(pts/tty)登陸內(nèi)核星期月日開始時(shí)間-lastlog顯示所有用戶最近一次登陸信息，默認(rèn)讀取/var/log/lastlog日志文件。IP最后登陸時(shí)間賬號(hào)檢查項(xiàng)3lastb #顯示登錄系統(tǒng)失敗的用戶信息，默認(rèn)讀取/var/log/btmpIP星期月日開始時(shí)間-3、操作歷史檢查項(xiàng)1、root的歷史命令history[root@localhost~]#history>>history.txt2、/home下各帳號(hào)目錄的.bash_history，查看普通帳號(hào)的歷史命令[root@localhost~]#less/home/xxx/.bash_history4、網(wǎng)絡(luò)檢查項(xiàng)

netstat–antlp|more

WEB服務(wù)：80、443、8080系統(tǒng)服務(wù)：21、22、23DB服務(wù)：3306、1521、63795、進(jìn)程檢查項(xiàng)用top命令查看資源(cpu/mem)占用率，并按C鍵通過占用率排序進(jìn)程檢查項(xiàng)1、psaux|grep$pid|grep-vgrep字段：用戶,進(jìn)程ID,CPU使用比,內(nèi)存使用比,虛擬內(nèi)存,固定內(nèi)存,狀態(tài),啟動(dòng)時(shí)間,使用時(shí)間,命令2、ps-ef字段：用戶,進(jìn)程ID,父進(jìn)程ID,CPU使用率,系統(tǒng)啟動(dòng)時(shí)間,終端,CPU使用時(shí)間,CMD進(jìn)程檢查項(xiàng)3、用lsof命令，查找進(jìn)程路徑lsof-i:1677 查看指定端口對(duì)應(yīng)的程序lsofp1234 檢查pid號(hào)為1234進(jìn)程調(diào)用情況4、用ls命令查看下pid所對(duì)應(yīng)的進(jìn)程文件路徑：ls-l/proc/$PID/exe或file/proc/$PID/exe($PID為對(duì)應(yīng)進(jìn)程號(hào))6、開機(jī)啟動(dòng)檢查項(xiàng)啟動(dòng)項(xiàng)排查：lsalt/etc/init.d/ //查看常規(guī)啟動(dòng)項(xiàng)lsalt/etc/rc[0~6].d //查看其他運(yùn)行級(jí)別的啟動(dòng)項(xiàng)ls-alt/etc/rc.d/rc[0~6].d//rc[0~6].d中0~6代表運(yùn)行級(jí)別chkconfig–list7、定時(shí)任務(wù)檢查項(xiàng)1、查看是否有可疑任務(wù)：crontabl或/etc/crontab或more/etc/crontab2、查詢用戶的任務(wù)：crontaburootl定時(shí)任務(wù)檢查項(xiàng)MinuteHourDayMonthWeekcommand分鐘小時(shí)天月星期命令0-59 0-231-311-120-6command定時(shí)任務(wù)檢查項(xiàng)其他定時(shí)任務(wù)目錄文件：/etc/cron.d/* //存放系統(tǒng)級(jí)任務(wù)的任務(wù)文件/etc/cron.hourly/* //存放每小時(shí)任務(wù)/etc/cron.daily/* //存放每日任務(wù)/etc/cron.weekly/* //存放每周任務(wù)/etc/cron.monthly/* //存放每月任務(wù)/etc/anacrontab //存放系統(tǒng)級(jí)的任務(wù)/var/spool/cron/* //計(jì)劃任務(wù)的日志：/var/log/cron*8、服務(wù)檢查項(xiàng)chkconfig--list查看服務(wù)自啟動(dòng)狀態(tài)，可以看到所有的RPM包安裝的服務(wù)psaux|grepcrond查看當(dāng)前服務(wù)9、異常文件檢查項(xiàng)查看指定目錄文件：ls/-alt 或ls-alt|head-n10查找777的權(quán)限的文件：find/*-perm777或ls–l/查找隱藏文件：ls–a/異常文件檢查項(xiàng)查找訪問的文件：find/root/atimen //n表示n天之前的“一天之內(nèi)”被訪問過的文件find/root/-atime+n //列出在n天之前（不包含n天本身）被訪問過的文find/root/-atime-n //列出在n天之內(nèi)（包含n天本身）被訪問過的文件查找2天內(nèi)新增的文件：find/root/-ctime-2 //新增文件10、系統(tǒng)日志檢查項(xiàng)1、常見日志文件：/var/log/wtmp 記錄所有用戶最近登陸信息，用last命令查看/var/log/lastlog 記錄用戶最后一次登錄的信息，用lastlog命令查看/var/log/btmp 記錄登錄系統(tǒng)失敗的用戶信息，用lastb命令查看/var/log/utmp 記錄當(dāng)前正登錄的用戶及其執(zhí)行信息，用who或w命令查看/var/log/message記錄系統(tǒng)重要信息(異常錯(cuò)誤等)信息/var/log/secure記錄安全相關(guān):驗(yàn)證授權(quán),賬號(hào)密碼信息，如ssh登陸su切換sudo授權(quán)/var/log/cron 記錄定時(shí)任務(wù)執(zhí)行相關(guān)的日志信息/var/log/auth.log包含系統(tǒng)授權(quán)信息，包括用戶登錄和使用的權(quán)限機(jī)制等/var/log/userlog記錄所有等級(jí)用戶信息的日志系統(tǒng)日志檢查項(xiàng)系統(tǒng)日志檢查項(xiàng)查看登錄成功的信息：cat/var/log/secure查看登錄成功的IP：grep"Accepted"/var/log/secure|awk'{print$11}'|sort|uniq-c|sort-nr|moregrep"Accepted"/var/log/auth.log|awk'{print$11}'|sort|uniq-c|sort-nr|more11、防火墻檢查項(xiàng)查看本機(jī)關(guān)于IPTABLES的設(shè)置情況:iptables-L–n12、安裝包檢查項(xiàng)校驗(yàn)所有的RPM軟件包,查找丟失的文件:rpm-Va病毒后門查殺檢查項(xiàng)后門排查：Chkrootkit：/Magentron/chkrootkitRkhunter：/installation/rkhunterLnuxCheck：/al0ne/LinuxCheck手工檢查項(xiàng)總結(jié)目錄 1contents Linux手工檢查項(xiàng)我們要做什么1 Linux檢查工具我們要做什么Linux檢查工具whohk：進(jìn)程\網(wǎng)絡(luò)\啟動(dòng)項(xiàng)\用戶等下載：/heikanet/whohk河馬：webshell查殺簡(jiǎn)介：擁有海量webshell樣本和自主查殺技術(shù)，采用傳統(tǒng)特征+端大數(shù)據(jù)雙引擎的查殺技術(shù)。查殺速度快、精度高、誤報(bào)低。兼容性：支持Windows、linux，支持在線查殺。地址：https://\h/河馬：webshell查殺河馬：webshell查殺河馬：webshell查殺360星圖：日志分析介紹：360星圖：360旗下開拓的站點(diǎn)日記分析工具，使用360站點(diǎn)衛(wèi)士中心數(shù)據(jù)分析模塊，云+端聯(lián)動(dòng)分析，轉(zhuǎn)變?yōu)槿碌腤eb日記分析系統(tǒng)，深刻分析黑客襲擊行動(dòng)和非常訪問，譬如Web漏洞襲擊辨認(rèn)、CC襲擊辨認(rèn)、惡意爬蟲掃描辨認(rèn)、非常訪問辨認(rèn)等。使用：修改配置：/conf/config.ini文件中的log_file項(xiàng): 這一行填寫日記路徑，可以目錄或文件執(zhí)行start.bat3）生成結(jié)果在result目錄。360星圖：日志分析360星圖：日志分析Thanks應(yīng)急響應(yīng)指南Windows應(yīng)急目錄contents

Windows手工檢查項(xiàng)我們要做什么Windows檢查工具我們要做什么手工檢查項(xiàng)總結(jié)msimfo321、“系統(tǒng)”檢查項(xiàng)msimfo32“系統(tǒng)”檢查項(xiàng)systeminfosysteminfo\h/Home.aspx“系統(tǒng)”檢查項(xiàng)\h/Home.aspx2、“網(wǎng)絡(luò)”檢查項(xiàng)檢查監(jiān)聽端口、檢查端口連接情況，是否有可疑連接檢查監(jiān)聽端口、檢查端口連接情況，是否有可疑連接netstat-abno|findstr"LISTENING"netstat-abno|findstr"LISTENING"netstat-abno|findstr"ESTABLISHED"netstat-abno|findstr"ESTABLISHED"“網(wǎng)絡(luò)”檢查項(xiàng)常見高危端口：WEB服務(wù)：80、443、8080等系統(tǒng)服務(wù)：3389、445、139DB服務(wù)：1433、3306、1521、6379查看是否存在可疑賬號(hào)、新增賬號(hào)3、“賬戶”檢查項(xiàng)查看是否存在可疑賬號(hào)、新增賬號(hào)方法方法1：打開cmd窗口，輸入lusrmgr.msc命令，查看是否有新增/可疑的賬號(hào)，如有管理員群組的（Administrators）里的新增賬戶，如有，請(qǐng)立即禁用或刪除掉?！百~戶”檢查項(xiàng)查看是否有賬號(hào)弱口令查看是否有賬號(hào)弱口令方法方法1：據(jù)實(shí)際情況咨詢相關(guān)服務(wù)器管理員。嘗試簡(jiǎn)單密碼“賬戶”檢查項(xiàng)查看是否存在隱藏賬號(hào)、克隆賬號(hào)方法1查看是否存在隱藏賬號(hào)、克隆賬號(hào)方法1：WIN+R，輸入regedit打開注冊(cè)表編輯器，找到以下鍵值查看是否存在隱藏賬號(hào)、克隆賬號(hào)“賬戶”檢查項(xiàng)查看是否存在隱藏賬號(hào)、克隆賬號(hào)方法2：使用D盾_web查殺工具，集成了對(duì)克隆賬號(hào)檢測(cè)的功能；方法2：使用D盾_web查殺工具，集成了對(duì)克隆賬號(hào)檢測(cè)的功能；4、“操作記錄”檢查項(xiàng)命令執(zhí)行歷史命令執(zhí)行歷史11、WIN+R鍵—打開框中輸入cmd2、Cmd窗口關(guān)閉前:按F7、doskey/HISTORY、上下箭來查看歷史。“操作記錄”檢查項(xiàng)應(yīng)用程序運(yùn)行歷史：應(yīng)用程序運(yùn)行歷史：11、執(zhí)行過的程序記錄：C:/Windows/Prefetch瀏覽器歷史：瀏覽器歷史：11、Edge：菜單--歷史記錄2、Chrome：菜單--歷史記錄3、Firfox：菜單--我的足跡--歷史4、360SE：5、“啟動(dòng)項(xiàng)”檢查項(xiàng)11）檢查服務(wù)器是否有異常的啟動(dòng)項(xiàng)方法方法1：Win+R輸入msconfig，查看是否存在命名異常的啟動(dòng)項(xiàng)目.“啟動(dòng)項(xiàng)”檢查項(xiàng)11）檢查服務(wù)器是否有異常的啟動(dòng)項(xiàng)方法方法2：Win+R輸入regedit，打開注冊(cè)表，查看開機(jī)啟動(dòng)項(xiàng)是否正常，如下三個(gè)注冊(cè)表項(xiàng)：HKEY_CURRENT_USER/software/micorsoft/windows/currentversion/runHKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunHKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Runonce方法方法3：使用工具查看啟動(dòng)項(xiàng)：D盾_web查殺，PChunter，火絨劍等?！皢?dòng)項(xiàng)”檢查項(xiàng)22）檢查右側(cè)是否有啟動(dòng)異常的項(xiàng)目，如有請(qǐng)刪除，并建議安裝殺毒軟件進(jìn)行病毒查殺，清除殘留病毒或木馬。利用殺毒軟件進(jìn)行判斷等。利用殺毒軟件進(jìn)行判斷等。組策略，運(yùn)行組策略，運(yùn)行g(shù)pedit.msc。6、“計(jì)劃任務(wù)”檢查項(xiàng)檢查計(jì)劃任務(wù)檢查計(jì)劃任務(wù)方法方法1：?jiǎn)螕簟鹃_始】>【設(shè)置】>【控制面板】>【任務(wù)計(jì)劃】，查看計(jì)劃任務(wù)屬性，便可以發(fā)現(xiàn)木馬文件的路徑?！坝?jì)劃任務(wù)”檢查項(xiàng)檢查計(jì)劃任務(wù)檢查計(jì)劃任務(wù)方法方法2：WIN+R，輸入taskschd.msc“計(jì)劃任務(wù)”檢查項(xiàng)檢查計(jì)劃任務(wù)檢查計(jì)劃任務(wù)方法方法3：schtasks/query//所有任務(wù)“計(jì)劃任務(wù)”檢查項(xiàng)檢查計(jì)劃任務(wù)檢查計(jì)劃任務(wù)C:/Windows/System32/TasksC:/Windows/System32/Tasks該目錄一個(gè)文件對(duì)應(yīng)一個(gè)任務(wù)。當(dāng)系統(tǒng)不能啟動(dòng)時(shí)，可在PE進(jìn)入拷貝出來后用notepad++查看7、“防火墻”檢查項(xiàng)方法：設(shè)置方法：設(shè)置-->更新和安全-->Windows安全中心-->防火墻和網(wǎng)絡(luò)保護(hù)-->高級(jí)設(shè)置入站規(guī)則：入站規(guī)則：可設(shè)置允許/阻斷某個(gè)服務(wù)端口“防火墻”檢查項(xiàng)方法：設(shè)置方法：設(shè)置-->更新和安全-->Windows安全中心-->防火墻和網(wǎng)絡(luò)保護(hù)-->高級(jí)設(shè)置出站規(guī)則：出站規(guī)則：可設(shè)置允許/阻斷某個(gè)或所有程序外連接查看異常進(jìn)程：8、“進(jìn)程”檢查項(xiàng)查看異常進(jìn)程：方法方法1(任務(wù)管理器)：直接打開任務(wù)管理器—詳細(xì)信息“進(jìn)程”檢查項(xiàng)方法2(命令查看)：wmicprocesslistbrief//查詢所有進(jìn)程wmicprocessname,processid,executablepath//查詢進(jìn)程名ID路徑wmicprocesswhereprocessed=””getname,executablepath//根據(jù)ID查進(jìn)程名路徑“進(jìn)程”檢查項(xiàng)方法2(命令查看)：wmicprocesslistbrief//查詢所有進(jìn)程wmicprocessname,processid,executablepath//查詢進(jìn)程名ID路徑wmicprocesswhereprocessed=””getname,executablepath//根據(jù)ID查進(jìn)程名路徑“進(jìn)程”檢查項(xiàng)方法3(其他工具)D盾_web查殺工具：查看可疑進(jìn)程；D盾_web查殺工具：查看可疑進(jìn)程；火絨劍：“進(jìn)程”檢查項(xiàng)殺死異常進(jìn)程：殺死異常進(jìn)程：方法方法1：上述工具中右鍵可疑進(jìn)程—選擇結(jié)束進(jìn)程即可方法方法2：cmd中先用tasklist列出進(jìn)程(名+ID)，再用(taskkill/im進(jìn)程名/f或(taskkill/pid進(jìn)程ID)(解釋/im/f強(qiáng)制結(jié)束進(jìn)程)“進(jìn)程”檢查項(xiàng)進(jìn)程文件定位：-ano|more//查看目前的網(wǎng)絡(luò)監(jiān)聽或連接，定位可疑的進(jìn)程IDtasklist|findstr“PID”//根據(jù)以上查到的pid，再用tasklist命令定位進(jìn)程文件wmicprocess|findstr"xxx.exe"http://獲取進(jìn)程全路徑“進(jìn)程”檢查項(xiàng)進(jìn)程文件定位：-ano|more//查看目前的網(wǎng)絡(luò)監(jiān)聽或連接，定位可疑的進(jìn)程IDtasklist|findstr“PID”//根據(jù)以上查到的pid，再用tasklist命令定位進(jìn)程文件wmicprocess|findstr"xxx.exe"http://獲取進(jìn)程全路徑wmicprocesswherename="cmd.exe"getprocessid,executablepath//根據(jù)進(jìn)程名或ID獲取路徑“進(jìn)程”檢查項(xiàng)進(jìn)程文件定位：進(jìn)程文件定位：方法方法2：任務(wù)管理器---進(jìn)程—進(jìn)程右鍵—打開文件所在位置9、“安裝包”檢查項(xiàng)10、“服務(wù)”檢查項(xiàng)服務(wù)自啟動(dòng)服務(wù)自啟動(dòng)方法：方法：Win+R，輸入services.msc，注意服務(wù)狀態(tài)和啟動(dòng)類型，檢查是否有異常服務(wù)。11、“文件”檢查項(xiàng)痕跡查找常見方法：1）回收站2）下載目錄：各瀏覽器下載目錄3）最近使用的文件：開始--運(yùn)行--%UserProfile%/Recent或開始--運(yùn)行--%userprofile%/AppData/Roaming/Microsoft/Windows/Recent/4）文件搜索歷史：資源管理器—搜索—最近搜索的內(nèi)容5）搜索新增文件：資源管理器—搜索—修改日期(選擇天數(shù))6）命令執(zhí)行歷史：7）應(yīng)用程序打開歷史：8）瀏覽器歷史記錄：9）臨時(shí)文件目錄Temp：%UserProfile%/LocalSettings/temp10）文件歷史記錄：控制面板\系統(tǒng)和安全\文件歷史記錄(要事先啟用才記錄)12、“日志”檢查項(xiàng)Windows日志：應(yīng)用程序：記錄安裝的應(yīng)用程序執(zhí)行信息，警告，錯(cuò)誤安全：記錄系統(tǒng)及程序安全相關(guān)的信息，包含諸如有效和無效的登錄嘗試等事件，以及與資源使用相關(guān)的事件，如創(chuàng)建、打開或刪除文件或其他對(duì)象。管理員可以指定在安全日志中記錄什么事件。例如，如果已啟用登錄審核，則安全日志將記錄對(duì)系統(tǒng)的登錄嘗試：Logon/SpecialLogon登錄/特殊登錄UserAccountManagement用戶帳戶管理SecurityGroupManagement安全組管理SecurityStateChange安全狀態(tài)改變AuthenticationPolicyChange身份驗(yàn)證策略更改AuditPolicyChange審核策略更改SystemIntegrity系統(tǒng)完整性O(shè)therPolicyChangeEvents其他政策變更事件OtherSystemEvents其他系統(tǒng)事件系統(tǒng)：記錄系統(tǒng)服務(wù)組件的運(yùn)行信息,警告，錯(cuò)誤Setup：記錄系統(tǒng)程序/更新補(bǔ)丁安裝“日志”檢查項(xiàng)Windows日志文件路徑：Windows2000/2003/XP日志路徑：C:/Windows/System32/Config/*.evtWindowsVista/7/10/2008日志路徑:C:/Windows/System32/winevt/Logs/*.evtx該路徑下存放所有系統(tǒng)日志evt文件，無法進(jìn)入系統(tǒng)時(shí)用PE引導(dǎo)拷貝出來，在用其他系統(tǒng)的事件查看器打開查看。“日志”檢查項(xiàng)安全日志事件類型ID：EventID(2000/XP/2003)EventID(Vista/7/8/2008/2012)描述日志名稱5284624成功登錄Security5294625失敗登錄Security6804776成功/失敗的賬戶認(rèn)證Security6244720創(chuàng)建用戶Security6364732添加用戶到啟用安全性的本地組中Security6324728添加用戶到啟用安全性的全局組中Security29347030服務(wù)創(chuàng)建錯(cuò)誤System29447040IPSEC服務(wù)服務(wù)的啟動(dòng)類型已從禁用更改為自動(dòng)啟動(dòng)System29497045服務(wù)創(chuàng)建System“日志”檢查項(xiàng)日志查看：日志查看：方法方法1：Windows自帶事件查看器打開運(yùn)行打開運(yùn)行Win+R，輸入“eventvwr.msc”，回車啟動(dòng)事件查看器。點(diǎn)擊windows日志/安全“日志”檢查項(xiàng)日志查看：方法1：Windows自帶事件查看器打開運(yùn)行Win+R，輸入“eventvwr.msc”，回車啟動(dòng)事件查看器。點(diǎn)擊windows日志/安全1）查看網(wǎng)絡(luò)登錄成功記錄：(篩選器--事件ID4624)（注意成功登錄時(shí)間）“日志”檢查項(xiàng)日志查看：方法1：Windows自帶事件查看器打開運(yùn)行Win+R，輸入“eventvwr.msc”，回車啟動(dòng)事件查看器。點(diǎn)擊windows日志/安全2）查看登錄失敗記錄：(事件ID4625/529)如果存在大量的登錄失敗，說明存在爆破嘗試；注意開始爆破時(shí)間“日志”檢查項(xiàng)日志查看：日志查看：方法方法2：導(dǎo)出安全日志，利用文本工具或LogParser進(jìn)行分析?！叭罩尽睓z查項(xiàng)日志查看：日志查看：方法方法2：導(dǎo)出安全日志，利用文本工具或LogParser進(jìn)行分析。13、“內(nèi)存”檢查項(xiàng)Volatility：https://\h/zaqzzz/p/10350989.htmlhttps://\h/sesefadou/p/11804566.html/qq_45951598/article/details/110914935手工檢查項(xiàng)總結(jié)我們要做什么目錄 1我們要做什么contents1

Windows手工檢查項(xiàng)Windows檢查工具Windows檢查工具火絨：進(jìn)程\網(wǎng)絡(luò)\啟動(dòng)項(xiàng)\注冊(cè)表等PCHunter:進(jìn)程\網(wǎng)絡(luò)\啟動(dòng)項(xiàng)\注冊(cè)表等PowerTools:進(jìn)程\網(wǎng)絡(luò)\啟動(dòng)項(xiàng)\注冊(cè)表等Procexp:進(jìn)程\網(wǎng)絡(luò)\啟動(dòng)項(xiàng)\注冊(cè)表等D盾：Webshell查殺牧云：Webshell查殺SangforwebShellKiller:Webshell查殺LogParser:日志分析LogParserLogParser：下載地址：下載地址：https://\h/en-us/download/details.aspx?id=24659工具簡(jiǎn)介：工具簡(jiǎn)介：LogParse是一個(gè)功能強(qiáng)大的通用工具，它提供對(duì)基于文本的數(shù)據(jù)（如日志文件、XML文件和CSV文件）以及Windows?操作系統(tǒng)上的關(guān)鍵數(shù)據(jù)源（如事件日志、注冊(cè)表、文件系統(tǒng)和活動(dòng)目錄）的通用查詢?cè)L問。LogParser:日志分析啟動(dòng)軟件并打開日志文件:語句為：select*from‘path/to/logfile’LogParser:日志分析取消不需要的字段：LogParser:日志分析過濾器使用：LogParser:日志分析編輯過濾器360星圖：日志分析360星圖：介紹：360星圖：360旗下開拓的站點(diǎn)日記分析工具，使用360站點(diǎn)衛(wèi)士中心數(shù)據(jù)分析模塊，云+端聯(lián)動(dòng)分析，轉(zhuǎn)變?yōu)槿碌腤eb日記分析系統(tǒng)，深刻分析黑客襲擊行動(dòng)和非常訪問，譬如Web漏洞襲擊辨認(rèn)、CC襲擊辨認(rèn)、惡意爬蟲掃描辨認(rèn)、非常訪問辨認(rèn)等。使用：修改配置：/conf/config.ini文件中的log_file項(xiàng): 這一行填寫日記路徑，可以目錄或文件執(zhí)行start.bat3）生成結(jié)果在result目錄。360星圖：日志分析360星圖：日志分析Thanks應(yīng)急響應(yīng)指南中間件應(yīng)急中間件類型中間件常見漏洞1、IIS漏洞2、Apache漏洞3、Nginx漏洞4、Tomcat漏洞5、Jboss漏洞6、WebLogic漏洞7、其它中間件相關(guān)漏洞中間件日志Apache日志路徑Nginx日志路徑IIS日志路徑IIS日志路徑Tomcat日志路徑Jboss日志路徑Weblogic日志路徑默認(rèn)配置情況下，WebLogic會(huì)有三種日志，分別是accesslog,Serverlog和domainlog$MW_HOME是WebLogic的安裝目錄<domain_name>是域的實(shí)際名稱，是在創(chuàng)建域的時(shí)候指定的<server_name>是Server的實(shí)際名稱，是在創(chuàng)建Server的時(shí)候指定的<adminserver_name>是AdminServer的實(shí)際名稱，是在創(chuàng)建AdminServer的時(shí)候指定的Websphere日志路徑中間件日志分析案例題目1近日一網(wǎng)站運(yùn)維人員查看日志文件，發(fā)現(xiàn)有人對(duì)服務(wù)器做掃描攻擊，請(qǐng)大家分析此文件，找出這個(gè)IP地址。題目2某公司安全工程師發(fā)現(xiàn)公司有黑客入侵并拖庫的痕跡，你能幫忙找一下黑客拖庫的IP地址嗎？題目3發(fā)現(xiàn)有人連接過一個(gè)一句話的WebShell，請(qǐng)找到連接WebShell的IP地址。題目4根據(jù)提供的日志，其中有一個(gè)IP通過SQL注入方式拿到了管理員的賬戶密碼，找到這個(gè)IP地址。Thanks應(yīng)急響應(yīng)指南數(shù)據(jù)庫應(yīng)急常見數(shù)據(jù)庫計(jì)數(shù)據(jù)表明，在所 安全害25%,技錯(cuò)誤占 員作案占10%，有3%左右是由外部不法人員的攻擊造管理方面的原因比重高達(dá)70數(shù)據(jù)庫檢查項(xiàng)1、數(shù)據(jù)庫排查流程數(shù)據(jù)庫檢查通用流程：1）確定數(shù)據(jù)庫類型及版本2）數(shù)據(jù)庫是否未授權(quán)訪問3）檢查數(shù)據(jù)庫賬號(hào)安全(弱口令、可疑賬號(hào))4）檢查用戶連接登錄情況(用戶名、角色、創(chuàng)建日期、最近登錄日期、登錄失敗)5）數(shù)據(jù)庫語句執(zhí)行歷史(系統(tǒng)命令執(zhí)行，數(shù)據(jù)篡改等)6）數(shù)據(jù)庫是否泄露數(shù)據(jù)(數(shù)據(jù)庫文件有無訪問拷貝,是否有數(shù)據(jù)導(dǎo)出命令，是否有大量查詢)7）數(shù)據(jù)庫日志檢查（日志類型,存放目錄）8）數(shù)據(jù)庫漏洞檢查（提權(quán)，代碼執(zhí)行）常見的數(shù)據(jù)庫攻擊包括未授權(quán)訪問、弱口令、SQL注入、提升權(quán)限、代碼執(zhí)行、竊取備份等。2、mssql排查數(shù)據(jù)庫版本確定：計(jì)數(shù)據(jù)表明，在所 安全害25%,技錯(cuò)誤占 員作案占10%，有3%左右是由外部不法人員的攻擊造管理方面的原因比重高達(dá)702、mssql排查 檢查數(shù)據(jù)庫賬號(hào)安全(弱口令、空口令、可疑賬號(hào))：用客戶端直接連接服務(wù)器而未進(jìn)行身份驗(yàn)證(空密碼)登錄成功可咨詢管理員用客戶端連接后嘗試簡(jiǎn)單的用戶密碼或默認(rèn)密碼的登錄2、mssql排查

用戶及連接登錄情況：1、查看用戶最后一次登陸時(shí)間：selectloginname,accdatefromsys.syslogins2、查看客戶端的連接：Select*fromsys.dm_exec_connections計(jì)數(shù)據(jù)表明，在所 安全害25%,技錯(cuò)誤占 員作案占10%，有3%左右是由外部不法人員的攻擊造管理方面的原因比重高達(dá)702、mssql排查查看當(dāng)前用戶的執(zhí)行：sp_whosa或sp_who'WIN-S8BL8USPTOG\Administrator'計(jì)數(shù)據(jù)表明，在所 安全害25%,技錯(cuò)誤占 員作案占10%，有3%左右是由外部不法人員的攻擊造管理方面的原因比重高達(dá)702、mssql排查日志功能配置：?jiǎn)⒂萌罩居涗浌δ?，默認(rèn)配置僅限失敗的登錄，修改為失敗和成功的登錄，這樣就可以對(duì)用戶登錄進(jìn)行審核。計(jì)數(shù)據(jù)表明，在所 安全害25%,技錯(cuò)誤占 員作案占10%，有3%左右是由外部不法人員的攻擊造管理方面的原因比重高達(dá)702、mssql排查計(jì)數(shù)據(jù)表明，在所 安全害25%,技錯(cuò)誤占 員作案占10%，有3%左右是由外部不法人員的攻擊造管理方面的原因比重高達(dá)70

存儲(chǔ)過程查看日志：execxp_readerrorlogexecsys.sp_readerrorlog3、mysql排查showvariables'log'; 查看查詢?nèi)罩臼欠耖_啟計(jì)數(shù)據(jù)表明，在所 安全害25%,技錯(cuò)誤占 員作案占10%，有3%左右是由外部不法人員的攻擊造管理方面的原因比重高達(dá)703、mysql排查利用利用shell命令進(jìn)行簡(jiǎn)單的分析：##有哪些IP在爆破：grep"Accessdeniedmysql.log|cut-df4|uniq-c|sort-nr##爆破用戶名字典都有哪些：grep"Accessdeniedmysql.log|cutdf2|uniq-c|sort-nr4、其他數(shù)據(jù)庫排查Oracle數(shù)據(jù)庫日志路徑日志默認(rèn)路徑：%ORACLE%/rdbms/logOracle數(shù)據(jù)庫日志路徑日志默認(rèn)路徑：%ORACLE%/rdbms/log非默認(rèn)路徑時(shí)執(zhí)行語句SQL>showdump_dest得出background_dump_dest的值為日志路徑PostgreSQL數(shù)據(jù)庫日志路徑日志路徑：日志路徑：Linux：/var/log/progresql/Widnows：%progresql%\log\RedisRedis數(shù)據(jù)庫日志路徑LinuxLinux：/var/log/redis/redis.logWindwos：%redis%/log/redis.logmongoDBmongoDB數(shù)據(jù)庫日志路徑日志默認(rèn)路徑日志默認(rèn)路徑:Linux：/var/log/mongodb/mongod.logWindows:%mongodn%/log/Thanks應(yīng)急響應(yīng)指南案例介紹（上）o病毒PART to病毒01勒索勒索病毒勒索病毒勒索病毒事件流程案例：某公司勒索病毒事件勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱某公司(簡(jiǎn)稱”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱某公司(簡(jiǎn)稱”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱某公司(簡(jiǎn)稱”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱某公司(簡(jiǎn)稱”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱某公司(簡(jiǎn)稱”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱某公司(簡(jiǎn)稱”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱某公司(簡(jiǎn)稱”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱某公司(簡(jiǎn)稱”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱某公司(簡(jiǎn)稱”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。應(yīng)急結(jié)論：攻擊者通過IP:58(上海電信）、IP:54(北京阿里云）于2020-10-1715:26左右，使用系統(tǒng)賬戶通過互聯(lián)網(wǎng)遠(yuǎn)程登錄用友U8系統(tǒng)服務(wù)器，并開始進(jìn)行上傳和釋放勒索病毒程序。隨后用友U8系統(tǒng)服務(wù)器于2020-10-1719:29和22:292020-10-1722:37左右被進(jìn)行病毒感染和完成文件加密。后續(xù)：協(xié)助客戶報(bào)警處置，應(yīng)急報(bào)告提交公安機(jī)關(guān)。協(xié)助可以重裝電腦，并加固操作系統(tǒng)。o病毒PART To病毒02挖礦挖礦木馬挖礦木馬案例：某校園服務(wù)器感染挖礦病毒事件挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。綜合上述特征比較，確認(rèn)該木馬程序?yàn)閘inux挖礦木馬systemdMiner，該木馬通過bash命令下載執(zhí)行多個(gè)功能模塊，通過SSH暴力破解、SSH免密登錄利用、HadoopYarn未授權(quán)訪問漏洞和自動(dòng)化運(yùn)維工具內(nèi)網(wǎng)擴(kuò)散，且該木馬的文件下載均利用暗網(wǎng)代理，感染后會(huì)清除主機(jī)上的其他挖礦木馬，以達(dá)到資源獨(dú)占的目的，該病毒行為特征圖如下：挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。應(yīng)急結(jié)論：被通報(bào)的校園網(wǎng)攻擊事件應(yīng)為由挖礦木馬程序在嘗試進(jìn)行內(nèi)網(wǎng)擴(kuò)散時(shí)掃描攻擊產(chǎn)生，該木馬的下載定時(shí)任務(wù)、進(jìn)程由賬戶yuanfa創(chuàng)建和運(yùn)行，判斷該挖礦木馬可能為通過HadoopYarn未授權(quán)訪問漏洞或弱口令用戶漏洞進(jìn)行植入，疑似攻擊源IP為。后續(xù)：疑似攻擊源IP為交由客戶繼續(xù)跟進(jìn)，事件結(jié)束。PARTThree03入侵攻擊事件入侵攻擊事件入侵攻擊事件入侵事件應(yīng)急響應(yīng)流程案例：某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。應(yīng)急結(jié)論：初步判斷xxxx公司的服務(wù)器（IP:00）最早于2019-5-7日已遭受攻擊并獲取管理員權(quán)限進(jìn)入到公司內(nèi)網(wǎng)，攻擊者再隨后的時(shí)間不定期的通過已建立的后門通道進(jìn)行內(nèi)網(wǎng)訪問其它服務(wù)器的文件目錄。攻擊者在2020-9-4重新進(jìn)入內(nèi)網(wǎng)并執(zhí)行本地密碼讀取工具，獲得域控管理員權(quán)限，訪問多臺(tái)內(nèi)網(wǎng)其它服務(wù)器，并最后在2020-9-25日再次進(jìn)入xxxx公司內(nèi)網(wǎng)并開始執(zhí)行拷貝項(xiàng)目相關(guān)文檔的操作。PART Two04數(shù)據(jù)泄露事件數(shù)據(jù)泄露事件數(shù)據(jù)泄露事件數(shù)據(jù)泄露事件案例：某學(xué)校數(shù)據(jù)泄露事件數(shù)據(jù)泄露事件某學(xué)校數(shù)據(jù)泄露事件稱某學(xué)校（簡(jiǎn)稱“某學(xué)?！保┐嬖贓lasticsearch未授權(quán)訪問漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學(xué)校數(shù)據(jù)泄露事件稱某學(xué)校（簡(jiǎn)稱“某學(xué)?！保┐嬖贓lasticsearch未授權(quán)訪問漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學(xué)校數(shù)據(jù)泄露事件稱某學(xué)校（簡(jiǎn)稱“某學(xué)?！保┐嬖贓lasticsearch未授權(quán)訪問漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學(xué)校數(shù)據(jù)泄露事件稱某學(xué)校（簡(jiǎn)稱“某學(xué)?！保┐嬖贓lasticsearch未授權(quán)訪問漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學(xué)校數(shù)據(jù)泄露事件稱某學(xué)校（簡(jiǎn)稱“某學(xué)?！保┐嬖贓lasticsearch未授權(quán)訪問漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學(xué)校數(shù)據(jù)泄露事件稱某學(xué)校（簡(jiǎn)稱“某學(xué)?！保┐嬖贓lasticsearch未授權(quán)訪問漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學(xué)校數(shù)據(jù)泄露事件稱某學(xué)校（簡(jiǎn)稱“某學(xué)?！保┐嬖贓lasticsearch未授權(quán)訪問漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。應(yīng)急結(jié)論：某學(xué)校Elasticsearch服務(wù)存在未授權(quán)訪問漏洞，該服務(wù)存儲(chǔ)某學(xué)校業(yè)務(wù)軟件運(yùn)行的異常記錄。在2020年4月和9月有多個(gè)境外IP(附表)異常連接該Elasticsearch服務(wù)器，存在數(shù)據(jù)傳輸情況。Thanks應(yīng)急響應(yīng)指南案例分析（下）o篡改PART to篡改05網(wǎng)頁網(wǎng)頁篡改事件網(wǎng)頁篡改事件網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標(biāo)語”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標(biāo)語”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標(biāo)語”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標(biāo)語”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁篡改事件案例：某公司勒索病毒事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標(biāo)語”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標(biāo)語”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標(biāo)語”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標(biāo)語”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標(biāo)語”事件進(jìn)行進(jìn)一步排查。應(yīng)急結(jié)論：結(jié)合技術(shù)分析研判，初步判定此次事件主要原因是XXX公司后臺(tái)商戶管理系統(tǒng)存在weblogic反序列化漏洞，漏洞被黑客攻擊者利用上傳惡意圖片文件。o郵件PART to郵件06釣魚釣魚事件應(yīng)急處置目的：郵件取樣、事件溯源、協(xié)助止損、郵件取樣：郵件樣本、郵件附件；、事件溯源：分析郵件（釣魚、勒索、挖礦）、入侵排查；、協(xié)助止損：跟蹤溯源，安全自查。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過事件情報(bào)了解到以下信息：1.境外APT組織向某公司（\hyhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過事件情報(bào)了解到以下信息：1.境外APT組織向某公司（\hyhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過事件情報(bào)了解到以下信息：1.境外APT組織向某公司（\hyhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過事件情報(bào)了解到以下信息：1.境外APT組織向某公司（\hyhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過事件情報(bào)了解到以下信息：1.境外APT組織向某公司（\hyhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過事件情報(bào)了解到以下信息：1.境外APT組織向某公司（\hyhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過事件情報(bào)了解到以下信息：1.境外APT組織向某公司（\hyhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過事件情報(bào)了解到以下信息：1.境外APT組織向某公司（\hyhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過事件情報(bào)了解到以下信息：1.境外APT組織向某公司（\hyhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過事件情報(bào)了解到以下信息：1.境外APT組織向某公司（\hyhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。應(yīng)急結(jié)論：1、經(jīng)郵件服務(wù)器梭子魚網(wǎng)關(guān)搜索，只匹配到“關(guān)于新冠肺炎的一切”郵件信息，有9個(gè)郵箱收到該郵件（3個(gè)人員郵箱收到并未查看郵件信息，2個(gè)人員郵箱查看了郵件內(nèi)容并未打開郵件正文的附件鏈接，4個(gè)人員郵箱為離職人員（郵箱已不使用）），發(fā)件人均為“\hinfo_center@”，郵件發(fā)送時(shí)間為2020年2月10日9點(diǎn)51分至10點(diǎn)03分，發(fā)送內(nèi)容相同，搜索其他關(guān)鍵字并未發(fā)現(xiàn)其他相關(guān)的郵件。2、分析發(fā)件人（\hinfo_center@）郵箱，該郵箱為“廣州網(wǎng)易計(jì)算機(jī)系統(tǒng)有限公司”郵箱，信息包括：郵箱地址、IP地址、歸屬地3、通過分析郵件內(nèi)容，發(fā)現(xiàn)該郵件附件內(nèi)容為超鏈接（http://*********./），超鏈接已無法訪問，未能提取出附件內(nèi)容。4、某公司醫(yī)療已在郵箱管理處配置相關(guān)安全策略，暫未發(fā)現(xiàn)存在安全風(fēng)險(xiǎn)。PARTSeven07DDOS流量攻擊DDOS流量攻擊應(yīng)急處置目的：攻擊溯源、提供解決方案、協(xié)助止損等；、事件溯源：分析防護(hù)日志（IP地址判定）、協(xié)助止損：跟蹤溯源，提供解決方案；DDOS流量攻擊案例：某企業(yè)被DDOS攻擊事件初步了解為XX公司的電視機(jī)頂盒被進(jìn)行DDOS攻擊，XX公司的機(jī)頂盒客戶無法正常使用寬帶和電視服務(wù)。DDOS流量攻擊某企業(yè)被DDOS攻擊事件初步了解為XX公司的電視機(jī)頂盒被進(jìn)行DDOS攻擊，XX公司的機(jī)頂盒客戶無法正常使用寬帶和電視服務(wù)。DDOS流量攻擊某企業(yè)被DDOS攻擊事件初步了解為XX公司的電視機(jī)頂盒被進(jìn)行DDOS攻擊，XX公司的機(jī)頂盒客戶無法正常使用寬帶和電視服務(wù)。DDOS流量攻擊某企業(yè)被DDOS攻擊事件初步了解為XX公司的電視機(jī)頂盒被進(jìn)行DDOS攻擊，XX公司的機(jī)頂盒客戶無法正常使用寬帶和電視服務(wù)。被攻擊IP響應(yīng)并返回字節(jié)長(zhǎng)度為78的ICMP回包響應(yīng)攻擊者IP，由于攻擊者IP為通過攻擊工具偽造的SNMP請(qǐng)求，該ICMP回包報(bào)錯(cuò)：目的端口無法到達(dá)。DDOS流量攻擊某企業(yè)被DDOS攻擊事件初步了解為XX公司的電視機(jī)頂盒被進(jìn)行DDOS攻擊，XX公司的機(jī)頂盒客戶無法正常使用寬帶和電視服務(wù)。應(yīng)急結(jié)論：攻擊者通過互聯(lián)網(wǎng)使用snmppublic掃描開放snmp協(xié)議的設(shè)備，使用境外服務(wù)器IP對(duì)設(shè)備進(jìn)行SNMP協(xié)議的拒絕服務(wù)攻擊。針對(duì)攻擊時(shí)的流量數(shù)據(jù)包分析，未發(fā)現(xiàn)有明顯放大攻擊的跡象，同時(shí)由于流量數(shù)據(jù)包只有數(shù)據(jù)包包頭內(nèi)容，缺失數(shù)據(jù)包內(nèi)容，無法深入分析更多攻擊詳情。后續(xù)：機(jī)頂盒軟件問題，處置SNMP包存在bug，導(dǎo)致崩潰。DDOS流量攻擊某企業(yè)被DDOS攻擊事件深圳某企業(yè)網(wǎng)絡(luò)科技有限公司（下稱“某企業(yè)”）的域名\h（IP：120.76.xxxx.xxxx），于2020年7月16日早上11點(diǎn)左右遭受DDOS攻擊目前阿里云已將IP:74進(jìn)行流量屏蔽，再對(duì)垃圾數(shù)據(jù)進(jìn)行清洗，網(wǎng)站暫時(shí)無法訪問。DDOS流量攻擊某企業(yè)被DDOS攻擊事件深圳某企業(yè)網(wǎng)絡(luò)科技有限公司（下稱“某企業(yè)”）的域名\h（IP：120.76.xxxx.xxxx），于2020年7月16日早上11點(diǎn)左右遭受DDOS攻擊目前阿里云已將IP:74進(jìn)行流量屏蔽，再對(duì)垃圾數(shù)據(jù)進(jìn)行清洗，網(wǎng)站暫時(shí)無法訪問。DDOS流量攻擊某企業(yè)被DDOS攻擊事件深圳某企業(yè)網(wǎng)絡(luò)科技有限公司（下稱“某企業(yè)”）的域名\h（IP：120.76.xxxx.xxxx），于2020年7月16日早上11點(diǎn)左右遭受DDOS攻擊目前阿里云已將IP:74進(jìn)行流量屏蔽，再對(duì)垃圾數(shù)據(jù)進(jìn)行清洗，網(wǎng)站暫時(shí)無法訪問。將數(shù)據(jù)包的payload內(nèi)容單獨(dú)提取出來，如下圖3所示：DDOS流量攻擊某企業(yè)被DDOS攻擊事件深圳某企業(yè)網(wǎng)絡(luò)科技有限公司（下稱“某企業(yè)”）的域名\h（IP：120.76.xxxx.xxxx），于2020年7月16日早上11點(diǎn)左右遭受DDOS攻擊目前阿里云已將IP:74進(jìn)行流量屏蔽，再對(duì)垃圾數(shù)據(jù)進(jìn)行清洗，網(wǎng)站暫時(shí)無法訪問。DDOS流量攻擊某企業(yè)被DDOS攻擊事件深圳某企業(yè)網(wǎng)絡(luò)科技有限公司（下稱“某企業(yè)”）的域名\h（IP：120.76.xxxx.xxxx），于2020年7月16日早上11點(diǎn)左右遭受DDOS攻擊目前阿里云已將IP:74進(jìn)行流量屏蔽，再對(duì)垃圾數(shù)據(jù)進(jìn)行清洗，網(wǎng)站暫時(shí)無法訪問。應(yīng)急結(jié)論：物聯(lián)網(wǎng)設(shè)備反射型DDOS流量攻擊，被利用的反射源主要來源是視頻攝像設(shè)備，這些設(shè)備的IP一共跨越了全球60個(gè)國(guó)家和地區(qū)。其中反射源大多分布在中國(guó)臺(tái)灣，匈牙利和美國(guó)。后續(xù)：建議為更換主服務(wù)器IP（考慮使用采購云平臺(tái)的高防IP），同時(shí)配置cdn服務(wù)來隱藏真實(shí)服務(wù)器IP進(jìn)行攻擊流量防御。

ONVIF協(xié)議介紹ONVIF致力于通過全球性的開放接口標(biāo)準(zhǔn)來推進(jìn)網(wǎng)絡(luò)視頻在安防市場(chǎng)的應(yīng)用，這一接口規(guī)范將確保不同廠商生產(chǎn)的網(wǎng)絡(luò)視頻產(chǎn)品具有互通性。ONVIF規(guī)范中設(shè)備管理和控制部分所定義的接口均以WebServices的形式提供。服務(wù)端與客戶端的數(shù)據(jù)交互采用soapxml數(shù)據(jù)格式。DDOS流量攻擊某企業(yè)被DDOS攻擊事件深圳某企業(yè)網(wǎng)絡(luò)科技有限公司（下稱“某企業(yè)”）的域名\h（IP：120.76.xxxx.xxxx），于2020年7月16日早上11點(diǎn)左右遭受DDOS攻擊目前阿里云已將IP:74進(jìn)行流量屏蔽，再對(duì)垃圾數(shù)據(jù)進(jìn)行清洗，網(wǎng)站暫時(shí)無法訪問。應(yīng)急結(jié)論：攻擊者通過互聯(lián)網(wǎng)使用snmppublic掃描開放snmp協(xié)議的設(shè)備，使用境外服務(wù)器IP對(duì)設(shè)備進(jìn)行SNMP協(xié)議的拒絕服務(wù)攻擊。針對(duì)攻擊時(shí)的流量數(shù)據(jù)包分析，未發(fā)現(xiàn)有明顯放大攻擊的跡象，同時(shí)由于流量數(shù)據(jù)包只有數(shù)據(jù)包包頭內(nèi)容，缺失數(shù)據(jù)包內(nèi)容，無法深入分析更多攻擊詳情。后續(xù)：機(jī)頂盒軟件問題，處置SNMP包存在bug，導(dǎo)致崩潰。Thanks應(yīng)急響應(yīng)指南設(shè)備系統(tǒng)類應(yīng)急典型Web系統(tǒng)網(wǎng)絡(luò)架構(gòu)實(shí)際企業(yè)單位網(wǎng)絡(luò)架構(gòu)網(wǎng)絡(luò)安全設(shè)備網(wǎng)絡(luò)安全防火墻/UTM/安全網(wǎng)關(guān)/IDS/IPS/VPN網(wǎng)絡(luò)流量控制/分析/抗DDOS/網(wǎng)閘態(tài)勢(shì)感知

數(shù)據(jù)安全數(shù)據(jù)備份虛擬機(jī)備份與恢復(fù)主機(jī)安全防病毒桌面管理/主機(jī)審計(jì)應(yīng)用安全網(wǎng)頁防篡改、數(shù)據(jù)庫審計(jì)、網(wǎng)站安全監(jiān)測(cè)反釣魚

安全管理SIEM/日志管理/日志審計(jì)/SOC/安管平臺(tái)/堡壘機(jī)網(wǎng)管軟件/運(yùn)維管理軟件/上網(wǎng)行為管理各類后臺(tái)云平臺(tái)：阿里云、騰訊云業(yè)務(wù)系統(tǒng)：郵件系統(tǒng)、自建系統(tǒng)……網(wǎng)絡(luò)安全設(shè)備網(wǎng)絡(luò)安全防火墻/UTM/安全網(wǎng)關(guān)/IDS/IPS/VPN網(wǎng)絡(luò)流量控制/分析/抗DDOS/網(wǎng)閘態(tài)勢(shì)感知防火墻類FW（防毒墻）1、定義：由軟件和硬件設(shè)備組合而成，在內(nèi)部網(wǎng)和外部網(wǎng)之間，專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。注意的是：防火墻只能抵御外部的攻擊，不能抵御內(nèi)部的病毒(如ARP病毒)或攻擊。2、功能：防火墻主要用于兩個(gè)網(wǎng)絡(luò)之間做邊界防護(hù)，企業(yè)中更多使用的是內(nèi)網(wǎng)與互聯(lián)網(wǎng)的NAT、包過濾規(guī)則、端口映射等功能。3、部署方式：網(wǎng)關(guān)模式、透明模式4、高可用性：為了保證網(wǎng)絡(luò)可靠性，現(xiàn)在設(shè)備都支持主-主、主-備等部署。應(yīng)急相關(guān)：1、查看網(wǎng)絡(luò)出入口訪問記錄，訪問溯源。2、五元組：源IP、源端口、協(xié)議、目標(biāo)IP、目標(biāo)端口。防火墻類防火墻相關(guān)截圖防火墻類防火墻相關(guān)截圖防火墻類IDS、IPS（入侵檢測(cè)、防御系統(tǒng)）1、定義：入侵防御一般具有防火墻的功能，但其防御的對(duì)象更具有針對(duì)性。防火墻是通過對(duì)五元組進(jìn)行控制，達(dá)到包過濾的效果，而入侵防御IPS，則是將數(shù)據(jù)包進(jìn)行檢測(cè)(深度包檢測(cè)DPI)對(duì)蠕蟲、病毒、木馬、拒絕服務(wù)等攻擊進(jìn)行查殺。2、功能：同防火墻。并增加IPS特征庫，對(duì)攻擊行為進(jìn)行防御。3、部署方式：同防毒墻。說明：防火墻允許符合規(guī)則的數(shù)據(jù)包進(jìn)行傳輸，不會(huì)對(duì)數(shù)據(jù)包中是否有病毒代碼或攻擊代碼進(jìn)行檢查，而防毒墻和入侵防御則更深入地對(duì)數(shù)據(jù)包進(jìn)行檢查。應(yīng)急相關(guān)：1、查看網(wǎng)絡(luò)安全事件歷史攻擊記錄。2、出入口訪問記錄，訪問溯源。3、時(shí)間、事件、五元組（源IP、源端口、協(xié)議、目標(biāo)IP、目標(biāo)端口）、防護(hù)情況防火墻類IDS、IPS（入侵檢測(cè)、防御系統(tǒng)）開源：snort、suricata防火墻類統(tǒng)一威脅安全網(wǎng)關(guān)(UTM)1、定義：功能全面的安全產(chǎn)品，包括防火墻，防病毒軟件，內(nèi)容過濾和垃圾郵件過濾器，能防范多種威脅。2、功能：具備防火墻、防毒墻、入侵防護(hù)三種設(shè)備的功能。3、部署方式：可以代替防火墻，部署方式同防火墻?，F(xiàn)在大多數(shù)廠商，把防病毒和入侵防護(hù)作為防火墻來使用。在不考慮硬件性能以及費(fèi)用的情況下，開啟了防病毒模塊和入侵防護(hù)功能的防火墻，其實(shí)和UTM是一樣的。應(yīng)急相關(guān)：1、查看網(wǎng)絡(luò)安全事件歷史攻擊記錄。2、出入口訪問記錄，訪問溯源。3、惡意代碼、程序、病毒查殺記錄。包括：時(shí)間、事件、五元組（源IP、源端口、協(xié)議、目標(biāo)IP、目標(biāo)端口）、防護(hù)情況防火墻類）定義：由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備功能：主要是在兩個(gè)網(wǎng)絡(luò)之間做隔離并需要數(shù)據(jù)交換，網(wǎng)閘是具有中國(guó)特色的產(chǎn)品。部署方式：兩套網(wǎng)絡(luò)之間應(yīng)急相關(guān)：兩套網(wǎng)絡(luò)間的網(wǎng)絡(luò)訪問情況、文件傳輸情況。防火墻類SSLVPN:1、定義：采用IPSec協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)。2、功能：通過IPSECVPN使客戶端或一個(gè)網(wǎng)絡(luò)與另外一個(gè)網(wǎng)絡(luò)連接起來，大多數(shù)用在分支機(jī)構(gòu)與總部連接。3、部署方式：網(wǎng)關(guān)模式、旁路模式應(yīng)急相關(guān)：1、調(diào)查VPN登錄成功、失敗事件。內(nèi)容包括：時(shí)間、登錄IP、登錄賬號(hào)、登錄情況等防火墻類DDOS防護(hù)設(shè)備從網(wǎng)絡(luò)背景流量中精準(zhǔn)地識(shí)別出各種已知和未知的拒絕服務(wù)攻擊流量，并能夠?qū)崟r(shí)過濾和清洗，確保網(wǎng)絡(luò)服務(wù)的正常訪問。應(yīng)急相關(guān)：DDOS攻擊事件信息包括：事件、攻擊IP、歸屬地、攻擊方式、目標(biāo)IP、數(shù)據(jù)包等防火墻類DDOS防護(hù)設(shè)備防火墻類網(wǎng)絡(luò)分析類（網(wǎng)絡(luò)安全審計(jì)、網(wǎng)絡(luò)流量分析）態(tài)勢(shì)感知類（APT未知威脅發(fā)現(xiàn)）網(wǎng)絡(luò)安全設(shè)備主機(jī)安全防病毒桌面管理/主機(jī)審計(jì)防火墻類防病毒軟件AV1、定義：利用病毒庫查殺病毒、惡意代碼、程序等。2、功能：利用病毒庫特征查殺病毒、惡意代碼、程序等。3、部署方式：?jiǎn)螜C(jī)部署、網(wǎng)絡(luò)部署應(yīng)急相關(guān)：主機(jī)感染病毒程序情況。包括：時(shí)間、主機(jī)IP、病毒程序等防火墻類網(wǎng)絡(luò)準(zhǔn)入控制（終端管理）終端接入控制主要目的是保證網(wǎng)絡(luò)邊界完整性，提升內(nèi)網(wǎng)安全性。實(shí)現(xiàn)過程大致為三步：當(dāng)終端接入網(wǎng)絡(luò)時(shí)，先與終端接入設(shè)備（如交換機(jī)）完成首次信息交換；終端接入設(shè)備將終端信息發(fā)送至策略控制中心進(jìn)行認(rèn)證和檢查；策略控制中心將認(rèn)證結(jié)果返回給終端接入設(shè)備，對(duì)終端進(jìn)行放行、阻斷或隔離。應(yīng)急相關(guān)：終端主機(jī)詳細(xì)信息，包括服務(wù)、程序、進(jìn)程、端口等。整體網(wǎng)絡(luò)的終端準(zhǔn)入信息。網(wǎng)絡(luò)安全設(shè)備應(yīng)用安全網(wǎng)頁防篡改、數(shù)據(jù)庫審計(jì)、網(wǎng)站安全監(jiān)測(cè)反釣魚防火墻類網(wǎng)頁防篡改通過文件底層驅(qū)動(dòng)技術(shù)對(duì)Web站點(diǎn)目錄提供全方位的保護(hù)，防止黑客、病毒等對(duì)目錄中的網(wǎng)頁、電子文檔、圖片、數(shù)據(jù)庫等任何類型的文件進(jìn)行非法篡改和破壞。應(yīng)急相關(guān)：網(wǎng)站系統(tǒng)的頁面篡改日志記錄防火墻類Web應(yīng)用防護(hù)系統(tǒng)WAF(WebApplicationFirewall)定義：針對(duì)HTTP/HTTPS協(xié)議進(jìn)行分析，對(duì)SQL注入攻擊、XSS攻擊Web攻擊進(jìn)行防護(hù)，并具備基于URL的訪問控制；HTTP協(xié)議合規(guī)；Web敏感信息防護(hù)；文件上傳下載控制；Web表單關(guān)鍵字過濾。網(wǎng)頁掛馬防護(hù)，Webshell防護(hù)以及web應(yīng)用交付等功能。部署:通常部署在web應(yīng)用服務(wù)器前進(jìn)行防護(hù)應(yīng)急相關(guān)：針對(duì)Web系統(tǒng)得網(wǎng)絡(luò)攻擊事件。內(nèi)容包括：時(shí)間、源IP、源端口、攻擊payload、訪問URL、http/https報(bào)文等網(wǎng)絡(luò)安全設(shè)備防火墻類Vmvaresphere網(wǎng)絡(luò)安全設(shè)備防火墻類SIEM/日志管理/日志審計(jì)/SOC/安管平臺(tái)件的快速跟蹤、定位和應(yīng)急響應(yīng)。從監(jiān)控、審計(jì)、風(fēng)險(xiǎn)和運(yùn)維四個(gè)維度建立起來的一套可度量的統(tǒng)一業(yè)務(wù)支撐平臺(tái)。服務(wù)器（Server）、代理（Agent）和數(shù)據(jù)庫（DataBase）。服務(wù)器負(fù)責(zé)對(duì)預(yù)處理后的安全事件進(jìn)行集中分析、響應(yīng)、可視化輸出以及做出專家建議。數(shù)據(jù)庫則負(fù)責(zé)集中存儲(chǔ)預(yù)處理后的安全事件。應(yīng)急相關(guān)：所有網(wǎng)絡(luò)訪問、安全事件、服務(wù)器日志等。防火墻類SIEM/日志管理/日志審計(jì)/SOC/安管平臺(tái)防火墻類上網(wǎng)行為管理定義：上網(wǎng)行為管理（EIM）幫助互聯(lián)網(wǎng)用戶控制和管理對(duì)互聯(lián)網(wǎng)的使用，包括對(duì)網(wǎng)頁訪問過濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計(jì)、用戶行為分析。應(yīng)急相關(guān)：內(nèi)網(wǎng)（局域網(wǎng)）主機(jī)的網(wǎng)絡(luò)訪問記錄防火墻類上網(wǎng)行為管理定義：上網(wǎng)行為管理（EIM）幫助互聯(lián)網(wǎng)用戶控制和管理對(duì)互聯(lián)網(wǎng)的使用，包括對(duì)網(wǎng)頁訪問過濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計(jì)、用戶行為分析。防火墻類堡壘機(jī)堡壘機(jī)，即在一個(gè)特定的網(wǎng)絡(luò)環(huán)境下，為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外部和內(nèi)部用戶的入侵和破壞，而運(yùn)用各種技術(shù)手段監(jiān)控和記錄運(yùn)維人員對(duì)網(wǎng)絡(luò)內(nèi)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫等設(shè)備的操作行為，以便集中報(bào)警、及時(shí)處理及審計(jì)定責(zé)。應(yīng)急相關(guān)：通過堡壘機(jī)訪問網(wǎng)絡(luò)內(nèi)部軟硬件資源的日志記錄。防火墻類堡壘機(jī)日志分析類日志管理|日志審計(jì)（ElasticSearch）Elasticsearch是一個(gè)實(shí)時(shí)的分布式搜索和分析引擎，它可以用于全文搜索，結(jié)構(gòu)化搜索以及分析。一個(gè)建立在全文搜索引擎ApacheLucene基礎(chǔ)上的搜索引擎，使用Java語言編寫。目前，最新的版本是2.1.0。日志目錄：%ElasticSearch%\log\日志配置項(xiàng)：%ElasticSearch%\conf\elasticsearch.yml中的path.logs:指定日志存放目錄日志分析類日志管理|ELK“ELK”是三個(gè)開源項(xiàng)目的首字母縮寫，這三個(gè)項(xiàng)目分別是：Elasticsearch、Logstash和Kibana。Elasticsearch是一個(gè)搜索和分析引擎。Logstash是服務(wù)器端數(shù)據(jù)處理管道，能夠同時(shí)從多個(gè)來源采集數(shù)據(jù)，轉(zhuǎn)換數(shù)據(jù)，然后將數(shù)據(jù)發(fā)送到諸如Elasticsearch等“存儲(chǔ)庫”中。Kibana則可以讓用戶在Elasticsearch中使用圖形和圖表對(duì)數(shù)據(jù)進(jìn)行可視化。完整的集中式日志系統(tǒng)收集－能夠采集多種來源的日