应急响应&&取证
Posted kunspace
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了应急响应&&取证相关的知识,希望对你有一定的参考价值。
查看日志 eventvwr.exe
中了勒索病毒
1.查看download目录有没有病毒样本,C:Users86132Downloads
2.查看系统开放端口
3.导出systeminfo
4.导出日志文件 所有的都要导出 wevtutil epl security d:security.evtx
5.分析日志文件log parser.exe
LogParser.exe -i:输入文件格式 -o:输出文件格式 "执行语句">保存到文件
LogParser.exe -i:evt -o:csv "select * from C:Users86132Desktopsecurity.evtx">C:Users86132Desktopsecurity.csv
日志ID:
4624(用户登陆成功)
4768、4776(用户账号验证成功)
从日志文件中筛选出用户登陆成功,账号验证成功的事件(管理员执行)
wevtutil qe security /q:"Event[System[(EventID=4624 or EventID=4768 or EventID=4776)]]" /f:text /rd:true /c:1 > EvtLogon.dat
查看隐藏账户
查看是否有shift后门
查看系统命令是否被替换
查看是否有ssh后门
查看是否存在隐藏的进程
查看是否有计划任务
crontab -u root -l 查看root用户的计划任务
cat /etc/crontab 查看/etc/crontab (ubuntu的路径)
ls -al /etc/cron.* 查看cron文件是否详细变化的信息
ll /var/spool/cron/ 查看/var/spool/cron/ /var/spool/cron/ 这个目录下存放的是每个用户包括root的crontab任务,(centos的路径)
tom建的crontab任务对应的文件就是/var/spool/cron/tom
检查系统命令
ls -alt /bin/ | head -n 10
ls -alt /usr/sbin/ | head -n 10
ls -alt /usr/bin/ | head -n 10
top -c 快速查看进程信息,并获取进程文件位置
kill -9 PID 强制杀死进程
根据恶意进程,文件特征如:文件名,文件大小,文件创建时间,进行全盘搜索
grep -rni "shell.name"* 根据文件名特征查找
find / -size 122311c 根据文件大小特征查找
find / -mtime 1 -name * 根据文件创建时间查找
cd /proc/PID 进入到进程
cat * |string -n 5 |more 读取该进程内存中的信息
lsof -p PID 查看进程占用信息
lsof -i:5000 查看5000端口的占用情况
netstat -nap 查看不正常端口
lsof -n |grep delete 查找已经删除但是还在使用的文件
以上是关于应急响应&&取证的主要内容,如果未能解决你的问题,请参考以下文章
Shell管理工具流量分析-上(菜刀蚁剑冰蝎2.0流量分析)&入侵检测应急响应资料整理