网络安全中的应急响应(Incident Response, IR)是指针对突发的网络安全事件(如数据泄露、恶意软件攻击、网络入侵等)进行快速识别、分析、控制和恢复的系统化流程。其主要目标是最小化事件造成的损害,恢复业务正常运行,并防止类似事件再次发生。
简单来说,就是当自身某个系统网站或者网络受到黑客攻击,我们发现后对其攻击行为进行快速的应急响应,这个时候会采取多种措施对攻击行为进行阻断,分析以及溯源,最后保证系统网站或者网络的正常运行。
应急事件主要分为:
-
勒索应急流程
-
挖矿应急流程
-
通用应急流程
其中勒索和挖矿事件,占比50%以上
应急响应过程
发现问题
比如运行变慢、弹窗变多、文件打不开、病毒、黑客攻击或数据泄露等等。
检测问题
-
系统提示异常登录、文件被加密、多了个用户等等。
-
可以用工具扫描电脑、进行排杀检查出问题。
控制损害
-
断开受感染设备的网络连接
-
比如禁用可疑账号或封堵攻击入口
解决问题
-
删除病毒、恢复数据
-
杀毒后从备份中还原
总结预防
-
分析如何攻击,加强防护
-
定时更新杀毒软件
流程
收集信息:收集客户信息和中毒主机信息,包括样本。
判断类型:判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DoS等等。
深入分析:日志分析、进程分析、启动项分析、样本分析。
清理处置:直接杀掉进程,删除文件,打补丁,或是修复文件。
产出报告:整理并输出完整的安全事件报告。
为什么需要应急响应?
能在黑客攻击或病毒入侵时快速发现并行动,避免损失扩大。
应急响应是指组织为了应对突发事件或重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施。
windows
1.web查杀
1.扫描服务器下的一个目录是否有后门
利用D盾工具进行扫描www文件找出已知后门的位置
2.日志排查
1,可以在phpstudy中的Apache/logs文件中找到大小最大的文件就是日志文件,正常来说里面的ip地址都是本机,如果不是要重点关注一下,还有可疑的攻击方式。
如果Apache的日志文件中找不出可疑的东西,也可以去找一下别的文件,比如:ftp......
2.查看windows登录日志,win+r输入eventvwr.msc回车,选择windows日志->安全,主要分析安全日志,可以借助自带的筛选、查找、导出功能。
没有头绪时可以直接搜索4720的ID,因为4720意味着有新的windows账号的创建事件。
3.查找IIS日志存放位置,【开始】➜【IIS管理器】➜【网站】➜【日志】
3.文件排查
可以查看文件名是否可疑。
任务管理器也可以查看可疑文件。
每个盘下的temp(tmp)下是否有可疑文件,temp(tmp)是windows产生的临时文件
是否有隐藏文件,属性中是否有可疑信息。
计划任务中是否有可疑任务和操作。
4.Windows帐号信息
命令:net user
或者【开始】➜【运行】➜【compmgmt.msc】➜【本地用户和组】➜【用户】 (用户名以$结尾的为隐藏用户,如:admin $)
可以查看有无多出来的一个系统用户。
如果没有找到,有可能黑客在在进行权限维持的时候进行了使用了隐藏账户。
在注册表编辑器中,计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account
可以查看是否多了用户。
也可以使用D盾,进行克隆检测
修改密码,并登录隐藏用户,查看是否有可用信息。
命令:net user 用户名 修改后的密码
linux
1.文件排查
主要使用ls,来查看目录下的文件
比如:敏感目录的目录 [/usr/bin /usr/sbin等]
1.隐藏文件与恶意文件
-
ls -la /tmp # 检查临时目录隐藏文件
-
find / -name ".*" -type f # 搜索所有隐藏文件
2.进程排查
1.查看网络连接
命令:netstat -antp
常见的状态说明:
| LISTENING | 侦听状态 |
|---|---|
| ESTABLISHED | 建立连接 |
| CLOSE_WAIT | 对方主动关闭连接或网络异常导致连接中断 |
3.系统信息排查
1.查看分析history ,查看历史命令操作,以便进一步排查。
可能会查到之前修改的文件或flag
2.查看linux开机启动程度
查看rc.local文件(/etc/init.d/rc.local /etc/rc.local)
4.用户信息排查
1.查看当前用户
命令: whoami
2.查看每个用户的登录次数和持续时间等。
命令:last
3.查看用户信息文件
命令: cat /etc/passwd
查看影子文件
命令:cat /etc/shadow(需要root)
如果有查看该用户的配置文件
命令:cat /用户名.conf
5.系统日志排查
1.日志目录(/var/log):
-
auth.log:用户登录、sudo操作记录。 -
syslog:记录了系统运行时的各种信息,包括启动信息、错误信息、警告信息以及调试信息等 -
messages:其功能和内容与/var/log/syslog类似。
共同排查点对比
| 排查方向 | Windows | Linux |
|---|---|---|
| 日志分析 | 事件查看器、PowerShell | /var/log、journalctl |
| 进程管理 | 任务管理器、tasklist | ps、top、systemctl |
| 网络连接 | netstat、资源监视器 | netstat、ss、iptables |
| 用户权限 | 注册表、本地用户和组 | /etc/passwd、/etc/sudoers |
| 启动项 | 注册表 Run 键、任务计划程序 | /etc/rc.local、cron 任务 |
| 文件系统检查 | sfc、隐藏文件属性 | rpm -Va、find 命令 |
总结
-
Windows:依赖图形化工具和注册表,排查重点是服务、进程、日志和网络连接。
-
Linux:以命令行和配置文件为核心,需关注日志、权限、定时任务和文件完整性。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
