什么时候做应急响应
服务器被入侵,业务出现蠕虫事件,用户以及公司员工被钓鱼攻击,业务被 DDoS 攻击,核心业务出现DNS、链路劫持攻击等等
如何做应急响应
1确定攻击时间
2查找攻击线索
3梳理攻击流程
4实施解决方案
5定位攻击者
6常见应急响应事件分类
web入侵:网页挂马、主页篡改、Webshell
系统入侵:病毒木马、勒索软件、远控后门、系统异常、RDP爆破、SSH爆破、主机漏洞、数据库入侵等
网络攻击:DDOS攻击、DNS劫持、ARP欺骗
路由器/交换机异常:内网病毒,配置错误等
入侵排查思路
1、检查系统账号安全
查看服务器是否存在可疑账号、新增账号
1、打开 cmd 窗口,输入 lusrmgr.msc 命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户
查看服务器是否存在隐藏账号、克隆账号
1:打开注册表 ,查看管理员对应键值
1、打开cmd窗口,输入regedit,查看注册表编辑器
2、选择 HKEY_LOCAL_MACHINE/SAM/SAM,默认无法查看该选项内容,右键菜单选择权限,打开权限管理窗口;
3)选择当前用户(一般为 administrator),将权限勾选为完全控制,然后确定。关闭注册表编辑器;
4)再次打开注册表编辑器,即可选择HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users;
5)在 Names 项下可以看到实例所有用户名,
注意:如出现本地账户中没有的账户,即为隐藏账户,在确认为非系统用户的前提下,可删除此用户。
2:使用D盾_web查杀工具,集成了对克隆账号检测的功能
查看服务器是否有弱口令,远程管理端口是否对公网开放
方法:咨询服务器相关管理员
结合日志,查看管理员登录时间、用户名是否存在异常。<