应急响应排查思路

Posted 2021-08-29 士别三日wyx

应急响应是指客户的机器遭到非法入侵后采取一系列措施,从而将损失降到最小

应急响应的排查思路主要有

1. 系统账号
2. 启动项
3. 计划任务
4. 进程
5. 网络连接
6. 分析文件
7. 日志分析

Linux应急响应

系统账号

查看/etc/passwd文件,是否有可疑的账户

last命令查看用户的登录信息

启动项

检查启动项中是否存在异常任务,Linux的启动项在/etc/rc.rocal文件和/etc/rc.d/目录下

计划任务

检查计划任务中是否有异常的任务,Linux系统的计划任务保存在/var/spool/cron/目录下,以用户名命名

crontab -l        -- 查看计划任务

crontab -e        -- 编辑计划任务

进程

ps -aux查看进程信息,检查是否存在恶意进程

• -a    显示所有进程
• -u    显示用户名
• -x    显示完整信息

网络连接

netstat -antlp查看网络连接,检查是否存在可疑的网络连接

• -a    显示所有选项
• -n    显示数字信息
• -t    显示tcp连接
• -l    显示监听状态的链接
• -p    显示相关的程序名

分析文件

检查近期创建或修改的文件,分析可疑的文件

find / -mtime -1        根目录范围下,搜索1天内修改过的文件

• /        查找的范围(路径)
• -ctime    按照文件创建时间搜索(-n指n天内,+n指n天前)
• -mtime    根据文件更改时间搜索(-n指n天内,+n指n天前)
• -atime    根据文件访问时间搜索(-n指n天内,+n指n天前)
• -perm    根据权限查找    find -perm 777

Windows应急响应

系统账号

net user    -- 查看系统账号

启动项

win+r打开运行窗口,输入shell:startup,检查开机启动项

计划任务

cmd输入taskschd.msc,检查计划任务,或者schtasks命令查看计划任务

进程

tasklist    -- 查看进程

taskkill    -- 结束进程

netstat -ano    -- 查看网络连接

• -a        显示所有端口
• -n        数字形式显示
• -o        显示关联的进程ID

shift粘滞键后门

按下5次shift键,检查弹出来的是不是系统的粘滞键