应急响应从懵懂到入门.pptxVIP

应急响应，从懵懂到入门

应急响应的形式远程应急响应服务本地应急响应服务

应急分类网站入侵应急主机入侵应急互相伤害网站篡改网站瘫痪页面挂马…木马病毒后门攻击异常登陆…

事件分类Web入侵：挂马、篡改、Webshell系统入侵：系统异常、RDP爆破、SSH爆破、主机漏洞病毒木马：远控、后门、勒索软件信息泄漏：刷库、数据库登录（弱口令）网络流量：频繁发包、批量请求、DDOS攻击

应急响应一般流程事件发现定位分析恢复加固用户报告管理检测IDS报警其他方式信息核实证据取证定位问题攻击分析恢复业务漏洞加固事件总结报告整理

如何做应急响应确定攻击时间查找攻击线索梳理攻击流程实施解决方案定位攻击者

入侵信息核实明确入侵网址/主机详情跟踪事件发现人了解事件发生特性核实网络结构或系统框架确定事件发生时间知悉事件发生后处理办法记录相关人员联系方法重要的事情要说三遍三遍三遍三遍三遍三遍三遍三遍

排查思路文件分析文件日期、新增文件、可疑/异常文件、最近使用文件、浏览器下载文件Webshell排查与分析，核心应用关联目录文件分析进程分析当前活动进程远程连接，启动进程计划任务，服务服务系统信息环境变量/账号信息/History/系统配置文件日志分析操作系统日志

数据收集查看账户信息检查补丁情况查看系统日志查看注册表/服务（Win）查看用户连接状况查看账户登录状况有哪些信誉好的足球投注网站近期修改文件查看网站日志检查数据库修改情况查看进程检查防护设备日志netusercat/etc/passwdSysteminfouname-a运行-eventvwr运行-regedit/services.mscnetstatnetstatquserwho/last用眼睛/工具（lchangedfiles）find/-ctime-1-print应用服务log目录应用服务log目录数据库日志任务管理器ps-aux没错，就是查看它的日志/var/log/message系统启动后的信息和错误日志，/var/log/secure与安全相关的日志信息/var/log/maillog与邮件相关的日志信息/var/log/cron与定时任务相关的日志信息/var/log/spoolerUUCP和news设备相关日志信息/var/log/boot.log进程启动和停止相关的日志消息.bash_history命令行历史记录

信息收集留意1.在查询用户的过程中要留意隐藏账户的信息HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names2.判断是否为恶意进程或者服务部分可通过描述或者发布者进行判断

VFsec应用系统类Apache、tomcat、Nginx、IIS的Web日志类无论任何web服务器其实日志需要关注的东西是一致的，即access_log和error_log。MysqlMSSQL数据库类检查mysql\lib\plugin目录没有发现异常文件（参考UDF提权）Mysql:select*frommysql.funcMSSQL，检查xp_cmdshell等存储过程正常与否

VFsec应用类在对WEB日志进行安全分析时，按照下面两种思路展开逐步深入，还原整个攻击过程。一.确定攻击范围二.确定特征文件

Windows下常用的工具工具主要功能PCHunter/火绒剑可查看进程、内核、服务等Dos命令查看信息wireshark分析数据流量日志安全分析工具日志安全分析工具能够对日志进行安全分析，可快速从日志中发现可疑的恶意攻击行为D盾/河马/杀毒软件可以检查服务器指定目录中可能存在的Webshell文件以及恶意文件指定漏洞的检测工具

Linux下常用的工具工具主要功能Dos命令查看信息Chkrootkit/rootkithunter查找检测rootkit后门的工具

Grep/find命令查找一句话木马（?phpeval($_post[cmd]);