应急响应场景及排查思路

本文结合多个实际应急案例经验进行总结,整理 Linux 操作系统应急过程中的排查项以及各项的关注内容,结尾提供辅助工具。

1.通信端口

1.1. 推荐命令

(1)netstat -napt

图片

1.2. 端口通信状态查看

重点关注本地端口、远程通信 IP 及端口、PID、进程名称,同时可通过连接状态来判断是临时连接还是长时间连接。

图片

通常来讲,反弹 shell 的链接是长时间的连接,可以每间隔 60 秒查看一次,如果连续 2-3 次查看后依旧保持连接状态,则可判定为长期连接,需要重点关注。

1.3. 端口开放情况查看

这里我们需要关注端口开放情况以及本地端口与远程端口通信端口差异

图片

   查看端口开放情况是最基本的操作,排查是否有异常开放端口。

   通信端口差异的排查原因是基于服务器与攻击者而控制端的连接方式,达到命令控制一般分为两种连接方式,正向连接与反向连接。

   正向连接即为本地监听端口,这种情况下多数为 4 位数或以下的端口号,且因为监听端口号是人为设定所以端口号有序,例如 1234、 5555、888、666、6666、7788、99、123 等。

图片

反向连接端口特征是 5 位数且端口号随机无规律可循,而远端通信端口号则是人为设定,有一定特征。

图片

1.4. 进程名查看

这个比较好理解,不多做阐述,主要是看有没有特殊进程。

图片

2.系统进程

2.1. 推荐命令

(1)ps -aux

图片

(2)ps -ef

图片

2.2. 进程排查流程

   通过端口排查我们所发现的异常端口,可以通过排查进程进行详细确认,排查进程应养成习惯,无论是否找到异常端口对应的进程,都应该对所有的进程进行查看。

   我们依照端口排查阶段所看到的本地跟远程的 888 端口通信为例来讲解,通信进程对应的PID 为 804。

图片

   在找出的结果中我们能详细的看到进程ID 所对应执行的命令,此处为bash -i。

   使用ps -ef 的查看效果如下。

图片

其实这种反弹shell 是最简单的,我们到这一步已经知道是如何反弹 shell 的了,只需要关闭对应进程即可。但是如果深度排查我们可以通过查看进程所产生的文件获取更多信息。

图片

可以根据exe 与cwd 了解执行程序以及运行目录。

在通过ps -ef 查找对应进程后,还可以根据进程父ID 继续向上查找,结合对应进程的cwd 以及exe 找到执行文件。

图片

   在寻找文件的过程中可以参考文件修改时间以及文件名来快速定位,因为一些攻击者会把后门插入到正常的文件中。但是这里的文件修改时间只能作为参考,不能完全依赖。例如下图中的 hacker.sh 显示是最后一次修改是在 1937 年,但是很显然 1937 年的时候世界上没有电脑。

图片

3.计划任务

3.1 推荐命令

(1)crontal -l

图片

(2)crontal -u [username] -l

图片

3vi

3.2 排查路径

需要使用vi 查看或者其他编辑器逐一排查,不要使用cat 查看。

/etc/crontab

图片

/var/spool/cron

图片

/etc/cron.d

图片

/etc/cron.daily

图片

/etc/cron.hourly

图片

/etc/cron.monthly

图片

4.其他排查项

4.1. 用户排查

4.1.1.推荐命令

(1)cat /etc/passwd | grep -E "/bash$" && cat /etc/passwd | grep -E "/sh$"

图片

推荐排查后使用再看一遍/etc/passwd 进行确认

4.2. 历史命令排查

4.2.1.推荐命令

(1)history

图片

可结合关键字进行快速查找。

4.3. 日志排查

4.3.1.推荐命令

(1)cat

图片

可根据实际情况去选择排查的日志文件。

4.4. 内存消耗排查

4.4.1.推荐命令

(1)free -h

图片

2top + m

图片

通过排查进程的内存损耗,快速判断是否有异常进行。一般在处理挖矿病毒的时候会参考这个结果。

4.5. 环境变量排查

4.5.1.推荐命令

(1)echo $PATH

图片

查看系统变量有无异常。

4.6. 登录用户排查

4.6.1.推荐命令

(1)w

图片

查看当前登录用户、登录IP、用户操作。

(2)last

图片

查看用户登录记录以及IP

5.工具推荐

杀毒:河马杀毒 http://www.shellpub.com

系统排查:linpeas.sh

<think>好的,用户想找中银杯Web应急响应相关的题目或解题思路,特别是CTF类型的。首先,我需要回忆一下常见的Web应急响应考点,比如日志分析、恶意流量检测、后门排查等。然后结合用户提供的引用,看看是否有相关的线索。 用户给出的引用中提到了SQL注入、命令执行、数据包分析等,这些都是CTF中常见的Web题型。比如引用[1]中的SQL注入利用,可能需要联合查询或者绕过认证;引用[2]提到用文本编辑器直接查看pcap文件,这可能涉及到分析HTTP请求中的攻击行为;引用[3]的命令执行绕过技巧,比如利用反斜杠或sh的特性执行命令,这可能和应急响应中发现恶意命令有关。 接下来,我需要整理这些知识点,形成解题思路应急响应题目通常需要分析日志、代码审计、找出恶意请求或后门。例如,在日志中查找可疑的HTTP请求,如异常User-Agent、POST数据中的可疑参数;检查服务器文件是否有新增的陌生文件,特别是可执行脚本;分析网络流量,定位攻击者的IP和攻击手法。 用户提供的例子中有代码审计和命令执行的技巧,这可能涉及到分析webshell或恶意脚本。例如,在PHP代码中查找危险函数如system、exec,或者混淆过的代码。此外,数据包分析可能涉及到追踪攻击者的步骤,比如SQL注入的时间、执行的命令等。 然后,根据这些思路,生成相关问题,帮助用户深入理解。比如如何分析Apache日志,如何识别webshell,如何从流量中提取攻击Payload等。这些问题应该覆盖应急响应的主要方面,并且结合CTF常见考点。 最后,确保回答符合系统指令:使用正确的中文,数学公式格式正确,引用适当。同时,问题部分要自然引导用户进一步探索,覆盖用户可能感兴趣的方面,如工具使用、特征识别、流量分析等。</think>### 中银杯Web应急响应题目解题思路 #### 1. **日志分析与攻击溯源** - Web应急响应题目常要求分析服务器日志(如Apache/Nginx访问日志、系统日志),定位攻击入口。例如: - 查找高频异常请求(如大量404状态码可能为目录爆破)[^2] - 定位SQL注入特征:如URL中包含`union select`、`sleep(`等关键字[^1] - 发现命令执行痕迹:如请求参数中含`curl|bash`、`;sh`等模式[^3] - **工具建议**:使用`grep`过滤关键字段,或通过`LogParser`可视化分析 #### 2. **恶意文件排查与代码审计** - 题目可能要求从服务器文件中找出后门: ```bash # 查找可疑PHP文件(含危险函数) find /var/www/html -name "*.php" | xargs grep -n "system\|exec\|passthru" ``` - 注意代码混淆技巧,如: ```php // 示例:base64_decode动态执行 $c = $_GET['x']; @eval(base64_decode($c)); ``` #### 3. **网络流量分析(PCAP文件)** - 使用Wireshark或直接文本编辑器打开pcap文件,重点观察: - HTTP请求中的攻击Payload(如SQL注入语句) - 异常DNS查询(可能为C2通信) - Webshell上传流量(如POST请求中附带加密代码) #### 4. **应急响应典型场景** - **场景1**:服务器被上传Webshell - 解题步骤: 1. 通过日志定位上传时间与IP 2. 使用`find -mtime -1`查找24小时内新增文件 3. 分析文件内容是否含`eval($_POST['cmd'])`等特征 - **场景2**:数据库遭SQL注入拖库 - 解题步骤: 1. 从日志中提取注入语句(如`union select`拼接字段) 2. 验证攻击者获取的数据类型(用户表/配置表) 3. 修复建议:过滤特殊字符或使用预编译语句 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值