博客介绍了Windows和Linux应急工具及应急流程。流程包括了解情况、调查阶段、报告和具体操作。具体操作中,分别阐述了Windows和Linux系统的后门、用户及文件、日志分析等检查方法,还提及Web系统安全事件处理,如外部检查、日志分析、挂马处理等。
windows 应急工具
linux应急工具
应急流程
1、了解情况 与业务人员交流
查看侦测报告和网络日志
查网络拓扑和访问控制列表
排除某些攻击途径
了解影响业务 包括潜在业务
2、调查阶段
收集数据
主机信息:日志、记录、文档等。
网络证据
司法鉴定。。。。
计算机取证.......
3、报告
立即记录
简明并描述清楚
用模板
提供解决方案
4、具体操作
windows
查后门 用户及用户文件 系统日志分析 信息收集与提交
按启动方式查找
按行为查找
按隐藏技术查找
rootkit unhooker revealer
1)系统后门程序 autoruns 条目
filemon regmon 监控
hook方式的
iceSword 程序集成了比较多的安全检测工具,可查看系统中是否存在隐藏进程
2)、用户及用户文件
运行compmgmt.msc 选择系统工具---本地用户和组,即可查看所有本地用户和组的信息,包括用户名以$结尾的。
查克隆用户可以用LP check.exe
3)日志分析
Evt文件 存在system32\config下 eventvwr运行
登录日志 看类型为3的,可能在破解口令。
Iinux
系统后门 用户及文件 系统日志分析 网络连接 进程与服务 文件系统
chkrootkit-mini
chkrootkit
rootkit hunter
---
passwd文件 权限和用户检查
shadow文件
uid信息
shell日志
系统日志分析
cron日志
secure日志
messages日志
last日志
网络连接
当前登录用户
端口开放情况
进程与服务
进程信息
服务信息
文件系统
suid
文件完整性
工具
1、chkrootkit
tar xvzf chkrootkit.tar.gz
cd chkrootkit-xx
make sense
检测 ./chkrootkit -q
2、rootkit hunter -更详细和精准
用户检查
查看passwd
uid = 0 的检查
awk -F : '$3==0{print}' /etc/passwd
shell日志
用户文件夹的 .bash_history
3、messages日志
看IP 时间 及口令破解
进程
ps -aux
ps -eaf
服务信息
chkconfig -list 查看服务启动信息
脚本存放 /etc/init.d 和 etc/xinetd.d目录下
Web系统安全事件处理
外部检查
dns 和 arp 欺骗
日志分析
注入分析 xss 目录 agent method
挂马处理
检测马 google baidu safebrowsing remote malware scanner spybye
本地Webshell检测
logparser grep indstr asp wss webshell
apache日志位置
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
