应急响应场景及排查思路

最新推荐文章于 2024-07-09 10:13:06 发布
原创 最新推荐文章于 2024-07-09 10:13:06 发布 · 952 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #网络 #linux #安全 #web安全

本文结合多个实际应急案例经验进行总结,整理 Linux 操作系统应急过程中的排查项以及各项的关注内容,结尾提供辅助工具。

1.通信端口

1.1. 推荐命令

(1)netstat -napt

图片

1.2. 端口通信状态查看

重点关注本地端口、远程通信 IP 及端口、PID、进程名称,同时可通过连接状态来判断是临时连接还是长时间连接。

图片

通常来讲,反弹 shell 的链接是长时间的连接,可以每间隔 60 秒查看一次,如果连续 2-3 次查看后依旧保持连接状态,则可判定为长期连接,需要重点关注。

1.3. 端口开放情况查看

这里我们需要关注端口开放情况以及本地端口与远程端口通信端口差异

图片

   查看端口开放情况是最基本的操作,排查是否有异常开放端口。

   通信端口差异的排查原因是基于服务器与攻击者而控制端的连接方式,达到命令控制一般分为两种连接方式,正向连接与反向连接。

   正向连接即为本地监听端口,这种情况下多数为 4 位数或以下的端口号,且因为监听端口号是人为设定所以端口号有序,例如 1234、 5555、888、666、6666、7788、99、123 等。

图片

反向连接端口特征是 5 位数且端口号随机无规律可循,而远端通信端口号则是人为设定,有一定特征。

最低0.47元/天 解锁文章
网络安全从入门到精通(特别篇I):Linux安全事件应急响应Linux应急响应基础必备技能
HACKONE的博客
04-10 1835
awk 首先将每条日志中的IP抓出来,如日志格式被自定义过,可以 -F 定义分隔符和 print指定列;
Linux应急响应之进程排查
qq_42671480的博客
05-20 988
Linux应急响应之进程排查篇 木马执行后,必然出现一个恶意进程。那么,该如何寻找这个进程呢? 我是通过这四个特征判断 (1)进程占用cpu,内存耗能高。 (2)进程运行时间,开始时间,差异化明显 (3)进程路径,使用命令参数异常 (4)多数病毒会替换系统命令 1.ps -aux USER 哪个用户启动了这个命令 PID 进程ID CPU CPU占用率 MEM 内存使用量 VSZ 如果一个程序完...
应急响应排查思路
xbn1873942785的博客
01-18 6310
1.应急响应概念: 通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。 应急响应基本流程: 总体来说: 表现—>收集—>攻击—>追查—>修复: 表现:(发现异常) 1. 网站部分:篡改、丢失乱码 2. 文件部分:丢失、篡改、泄露 3. 系统部分:系统卡顿、CPU爆满、服务宕机 4. 流量部分:大量数据包、陌生外部连接、网速网络卡顿 5. 第三方服务部分:服务异常、运行异常 收集:(收集信息) 1. 操作系统:linux、windows、mac 2.
应急响应篇:windows入侵排查
kali_Ma的博客
09-08 2167
前言 应急响应(Incident Response Service,IRS)是当企业系统遭受病毒传播、网络攻击、黑客入侵等安全事件导致信息业务中断、系统宕机、网络瘫痪,数据丢失、企业声誉受损,并对组织和业务运行产生直接或间接的负面影响时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,同时分析入侵原因、还原入侵过程、评估业务损失、溯源黑客取证并提出解决方案和防范措施,减少企业因黑客带来的相关损失。本文主要讨论windows被入侵后的排查思路。 windows入侵排查利器:火绒剑 202
安全服务】应急响应1:流程、排查与分析
热门推荐
kkza的博客
09-08 1万+
一、应急响应流程 应急响应分为六个阶段,分别是 准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结 这种划分方法也称PDCERF方法 实际上,应急响应并不是严格遵从这个方法的,大多数情况都要具体问题具体分析 1 准备阶段 以预防为主,主要是要进行风险评估等工作,包括建立信息安全管理体系、部署安全设备和安装防护软件、建立应急响应和演练制度等等。 2 检测阶段 这个阶段是在安全事件发生后的,主要是判断安全事件是否还在发生,安全事件产生的原因,对业务的危害程度以及预计如何处理。 ..
Linux应急响应入侵排查思路
weixin_50815573的博客
04-24 862
0x00 前言 ​ 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查思路。 0x01 入侵排查思路 一、账号安全 基本使用: 1、用户信息文件/etc/passwd root:x:0:0:root:/root:/bin/b
网络安全应急响应(归纳)
只有不断学习才不会被茫茫人海淹没!
06-09 1万+
1、概念 应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。 2、PDCERF(6阶段) a.准备阶段:预防为主,例如扫描、风险分析、打补丁等。简历监控措施、简历数据汇总分析体系、制定能够实现应急响应目标的策略和规程,建立信息沟通渠道,建立能够集合起来处理突发事件的体系。 b.检测阶段:检测事件是已经发生的还是正在进行中的,以及事件产生的原因。确定事件性质和影响的严重程度,以
应急响应靶场-Where-1S-tHe-Hacker-P2
hide_in_darkness的博客
06-05 1646
关注我们,咱们在安全的路上,扬帆起航。
如何做好应急响应工作?常见应急响应流程
HBohan的博客
01-11 6458
1.应急响应的最终目标是保护客户的核心资产,所有行为必须围绕:保护、避害、不损害来进行。 2.在现在愈加复杂的攻击下,上述的常见场景一般会出现复合情况,需要应急人员根据经验去进行。 3.应急人员应有自己的方法论,对不同攻击的威胁建模,拥有威胁情报分析能力,结合工具的辅助进行现场响应与远程支撑。 4.工具和排查点大同小异,提升方法在于应急人员的是否熟悉该种攻击,利用特征和行为去排查更节省时间。 5.红蓝同源,应急响应属于蓝队,但必须具备一定的渗透能力。
应急响应--windows主机入侵排查思路
weixin_55821558的博客
06-14 2778
在之前的工作和护网期间,工程师们在实施主机入侵入侵排查工作的时候,常常会面临时间紧、任务急,需要排查的主机数量众多的情况,为了确保实施人员在有限的时间范围内,可以高效且保证质量的前提下完成主机入侵排查工作。结合大佬们的叙述和自己的体会作如下总结,仅供参考。1.初步筛选排查资产一般情况下,客户资料都比较多,想要对所有的资产主机进行入侵痕迹排查基本不太现实,等我们全部都排查完了,攻击者该做的事早就做完了,想要的目的也早就达到了,所以我简单说一下我的思路:首先,在排查前,作为项目经理,应该和客户沟通好,取得授权,
应急响应排查
S_cx666的博客
02-08 717
基本概念 网络安全应急响应 指在突发重大网络安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略与规程 事件分类 恶意程序事件 计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件、其他有害程序事件 网络攻击事件 拒绝服务器攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰事件、其他网络攻击事件 信息破坏事件 信息篡改、信息假冒、信息泄露、信息窃取、信息丢失、其他信息破坏事件 **信息内容安全事件** 违反宪法和
Linux环境中应急响应排查溯源思路总结
无问社区的博客
07-09 2872
应急响应和溯源时,经常会遇见Linux系统环境,然后小编经常只记得思路忘记部分命令,下面是小编对Linux环境下应急响应排查思路总结。 本文来源无问社区(wwlib.cn)更多详细内容可前往观看。
应急响应-windows-系统排查
qq_50765147的博客
01-21 1674
系统排查 在进行受害主机排查时,首先要对主机系统进行基本排查,方便对受害主机有一个初步的了解。 系统基本信息 Windows系统 在基础排查时,可以使用Microsoft系统信息工具(Msinfo32.exe),他是Microsoft Windows NT诊断工具(Winmsd.exe)的更新版本。 系统信息工具 在命令行中输入【msinfo32】命令,打开【系统信息】窗口,如图所示,可以显示本地计算机的硬件资源、组件和软件环境的信息。除了各方面的概述信息,还可以对
应急响应-文件痕迹排查
懂进攻知防守
11-21 1461
应急响应排查的过程中,由于大部分的恶意软件、木马、后门等都会在文件维度上留下痕迹,因此对文件痕迹的排查必不可少。时间点查找应急响应事件发生后,需要先确认事件发生的时间点,然后排查时间点前后的文件变动情况,从而缩小排查的范围。通过列出攻击日期内变动的文件,可以发现相关的恶意软件。系统中的恶意文件存在特定的设置、和关键字信息等。
网络安全----应急响应入侵排查
qq_51690690的博客
09-09 1959
一屋不扫何以扫天下?
应急响应篇】应急响应之系统排查方法
大河之犬的博客
05-10 1244
应急响应篇】应急响应之系统排查方法
应急响应Linux系统下应急响应排查方法(一)
一个偶尔更新,有点神经质的开发人员,专注于网络安全和人工智能应用领域。
01-25 1185
应急响应Linux系统下应急响应排查方法(一) linux后门启动方式 1、硬件启动 —>GRUB启动 —> 内核引导 —> 系统初始化(/etc/inittab 获取启动级别,/etc/rc.sysinit,加载系统服务/etc/rc.d 加载对应级别的文件,/etc/rc.local文件)—> 终端启动(验证登录,登录成功) 1、启动过程中排查 系统初始化: /etc/inittab /etc/rc.sysinit 加载系统服务: /etc/rc.d /etc/rc.loc
应急响应入门之Linux分析排查
dzqxwzoe的博客
02-20 471
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查思路。本文主要总结了在遇到了Linux系统时,应急响应先从对敏感文件分析、敏感文件信息、网络连接分析、进程分析、异常登录记录进行分析。网络安全入门学习路线。
Windows应急响应流程与思路
mashiro_hibiki的博客
04-25 4249
网络安全应急响应(Network Security Incident Response,又称CSIRT)是指团队或组织为了在网络安全事件发生时能够及时准确地做出反应和应对而建立的一套制度和流程。其目的是降低网络安全事件所造成的损失并迅速恢复受影响的系统和服务。我这里总结了一些 Window 服务器应急响应思路和方法,希望能对师傅们处理攻击事件或工作中的应急响应有所帮助。
中银杯Web应急响应的题
最新发布
03-20
<think>好的,用户想找中银杯Web应急响应相关的题目或解题思路,特别是CTF类型的。首先,我需要回忆一下常见的Web应急响应考点,比如日志分析、恶意流量检测、后门排查等。然后结合用户提供的引用,看看是否有相关的线索。 用户给出的引用中提到了SQL注入、命令执行、数据包分析等,这些都是CTF中常见的Web题型。比如引用[1]中的SQL注入利用,可能需要联合查询或者绕过认证;引用[2]提到用文本编辑器直接查看pcap文件,这可能涉及到分析HTTP请求中的攻击行为;引用[3]的命令执行绕过技巧,比如利用反斜杠或sh的特性执行命令,这可能和应急响应中发现恶意命令有关。 接下来,我需要整理这些知识点,形成解题思路应急响应题目通常需要分析日志、代码审计、找出恶意请求或后门。例如,在日志中查找可疑的HTTP请求,如异常User-Agent、POST数据中的可疑参数;检查服务器文件是否有新增的陌生文件,特别是可执行脚本;分析网络流量,定位攻击者的IP和攻击手法。 用户提供的例子中有代码审计和命令执行的技巧,这可能涉及到分析webshell或恶意脚本。例如,在PHP代码中查找危险函数如system、exec,或者混淆过的代码。此外,数据包分析可能涉及到追踪攻击者的步骤,比如SQL注入的时间、执行的命令等。 然后,根据这些思路,生成相关问题,帮助用户深入理解。比如如何分析Apache日志,如何识别webshell,如何从流量中提取攻击Payload等。这些问题应该覆盖应急响应的主要方面,并且结合CTF常见考点。 最后,确保回答符合系统指令:使用正确的中文,数学公式格式正确,引用适当。同时,问题部分要自然引导用户进一步探索,覆盖用户可能感兴趣的方面,如工具使用、特征识别、流量分析等。</think>### 中银杯Web应急响应题目解题思路 #### 1. **日志分析与攻击溯源** - Web应急响应题目常要求分析服务器日志(如Apache/Nginx访问日志、系统日志),定位攻击入口。例如: - 查找高频异常请求(如大量404状态码可能为目录爆破)[^2] - 定位SQL注入特征:如URL中包含`union select`、`sleep(`等关键字[^1] - 发现命令执行痕迹:如请求参数中含`curl|bash`、`;sh`等模式[^3] - **工具建议**:使用`grep`过滤关键字段,或通过`LogParser`可视化分析 #### 2. **恶意文件排查与代码审计** - 题目可能要求从服务器文件中找出后门: ```bash # 查找可疑PHP文件(含危险函数) find /var/www/html -name "*.php" | xargs grep -n "system\|exec\|passthru" ``` - 注意代码混淆技巧,如: ```php // 示例:base64_decode动态执行 $c = $_GET['x']; @eval(base64_decode($c)); ``` #### 3. **网络流量分析(PCAP文件)** - 使用Wireshark或直接文本编辑器打开pcap文件,重点观察: - HTTP请求中的攻击Payload(如SQL注入语句) - 异常DNS查询(可能为C2通信) - Webshell上传流量(如POST请求中附带加密代码) #### 4. **应急响应典型场景** - **场景1**:服务器被上传Webshell - 解题步骤: 1. 通过日志定位上传时间与IP 2. 使用`find -mtime -1`查找24小时内新增文件 3. 分析文件内容是否含`eval($_POST['cmd'])`等特征 - **场景2**:数据库遭SQL注入拖库 - 解题步骤: 1. 从日志中提取注入语句(如`union select`拼接字段) 2. 验证攻击者获取的数据类型(用户表/配置表) 3. 修复建议:过滤特殊字符或使用预编译语句 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值