1、概念及应急响应流程
应急响应流程是一种在突发事件发生时组织和协调资源、快速响应并减轻损失的计划。一个有效的应急响应流程可以帮助组织提高应对风险的能力,保障人员安全和财产
2、PDCERF(6阶段)
(1)事件预警/发现:
通过安全监控系统或日志报警、告警等方式发现异常或有风险的行为。
(2)事件确认:
事件预警后需要进行核实,确认事件的具体情况,确定事件的类型、影响范围、紧急程度等。
(3)事件分类:
根据事件的类型和影响程度对事件进行分类,并作出响应计划。
(4)紧急响应:
根据响应计划,启动紧急响应模式,调集相关的人员和资源,进行紧急处理和控制事件。
(5)事件调查:
对事件进行深入分析,找出事件的成因,并根据分析结果调整相关防护策略和措施,降低风险。
(6)事件修复/恢复:
恢复受影响的系统、数据和业务功能,确保业务恢复正常运作。
(7)事件总结/报告:
回顾事件处理过程,总结经验教训,撰写事件报告,并需要对相关人员进行培训和宣传,提高业务人员的安全意识和技能水平。
1.文件排查
1.webshell排查
findstr /m /i /s “eval” *.php (注意字符串编码格式)
/m 如果文件包含匹配项,则仅打印该文件名
/i 指定搜索不区分大小写
/s 在当前目录和所有子目录中搜索匹配的文件
/b 如果位于行的开头则匹配模式
/e 如果位于行的末尾则匹配模式
/x 打印完全匹配的行
/v 只打印不包含匹配的行
2.进程排查
netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED
点击查看代码-a 显示所有网络连接、路由表和网络接口信息
-n 以数字形式显示地址和端口号
-o 显示与每个连接相关的所属进程 ID
-r 显示路由表
-s 显示按协议统计信息、默认地、显示IP
LISTENING 侦听状态
ESTABLISHED 建立连接
CLOSE_WAIT 对方主动关闭连接或网络异常导致连接中断
netstat -ano | findstr /I established
根据netstat列出的pid,可以用tasklist定位它的进程是什么
tasklist | findstr 10960
根据wmic process 获取进程的全路径 [任务管理器也可以定位到进程路径]
wmic process |findstr mysqld
3.系统信息排查
查看环境 变量的设置
【我的电脑】➜【属性】➜【高级系统设置】➜【高级】➜【环境变量】
pathext的作用是
当你在CMD窗口中,运行某个程序时,可以不输入程序的后缀名,直接运行。
1.Windows 计划任务
【程序】➜【附件】➜【系统工具】➜【任务计划程序】
2.Windows帐号信息,如隐藏帐号等
win+cmd输入compmgmt.msc
win+cmd输入lusrmgr.msc
用户名以$结尾的为隐藏用户,(如:admin $)
3.查看当前系统用户的会话
4.查看systeminfo 信息,系统版本以及补丁信息
日志排查
win+cmd输入 eventvwr
主要分析安全日志,可以借助自带的筛选、查找、导出功能
参考链接:
https://blog.youkuaiyun.com/qq1140037586/article/details/130582989
扫一扫
1365
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
