事件分类
常见的安全事件:
Web入侵:挂马、篡改、Webshell
系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞
病毒木马:远控、后门、勒索软件
信息泄漏:拖裤、数据库登录(弱口令)
*** 流量:频繁发包、批量请求、DDOS攻击
2 排查思路
一个常规的入侵事件后的系统排查思路:
文件分析
a) 文件日期、新增文件、可疑/异常文件、最近使用文件、浏览器下载文件
b) Webshell 排查与分析
c) 核心应用关联目录文件分析
进程分析
a) 当前活动进程 & 远程连接
b) 启动进程&计划任务
c) 进程工具分析
i. Windows:Pchunter
ii. Linux: Chkrootkit&Rkhunter
系统信息
a) 环境变量
b) 帐号信息
c) History
d) 系统配置文件
日志分析
a) 操作系统日志
i. Windows: 事件查看器(eventvwr)
ii. Linux: /var/log/
b) 应用日志分析
i. Access.log
ii. Error.log
3 分析排查
3.1 Linux系列分析排查
3.1.1 文件分析
敏感目录的文件分析(类/tmp目录,命令目录/usr/bin /usr/ *** in)
例如:
查看tmp目录下的文件: ls –alt /tmp/
查看开机启动项内容:ls -alt /etc/init.d/
查看指定目录下文件时间的排序:ls -alt | head -n 10
针对可疑文件可以使用stat进行创建修改时间、访问时间的详细查看,若修改时间距离事件日期接近,有 线性关联,说明可能被篡改或者其他。
新增文件分析
例如要查找24小时内被修改的 *** P文件: find ./ -mtime 0 -name "*.jsp"
(最后一次修改发生在距离当前时间n24小时至(n+1)24 小时)
查找72小时内新增的文件find / -ctime -2
PS:-ctime 内容未改变权限改变时候也可以查出
根据确定时间去反推变更的文件
ls -al /tmp | grep "Feb 27"
特殊权限的文件
查找777的权限的文件 find / *.jsp -perm 4777
隐藏的文件(以 "."开头的具有隐藏属性的文件)
在文件分析过程中,手工排查频率较高的命令是 find grep ls 核心目的是为了关联推理出可疑文件。
3.1.2 进程命令
使用netstat *** 连接命令,分析可疑端口、可疑IP、可疑PID及程序进程
netstat –antlp | more
使用ps命令,分析进程
ps aux | grep pid | grep –v grep
将netstat与ps 结合,可参考vinc牛的案例:
(可以使用lsof -i:1677 查看指定端口对应的程序)
使用ls 以及 stat 查看系统命令是否被替换。
两种思路:之一种查看命令目录最近的时间排序,第二种根据确定时间去匹配。
ls -alt /usr/bin | head -10
ls -al /bin /usr/bin /usr/ *** in/ / *** in/ | grep "Jan 15"
原创 氨纶最早由德国拜耳公司研制,美国杜邦公司投入大批量生产。由于技术上的不够成熟,以及市场的开发不够,一直未能大批量生产,至20世纪末,才大量用于服装面料。近10年来,氨纶与其他纤维的包覆纱、...
油性皮肤是因人体皮脂腺分泌旺盛所产生的,皮肤中的皮脂腺特性由遗传因子决定。临床上根据皮肤表面脂质量的多少,可将皮肤大致分为:油性皮肤、干性皮肤、中性皮肤和混合皮肤等多种类型。 油性皮肤者,皮脂腺...
王者荣耀冠军应援音符怎么得?冠军应援音符和总决赛FMVP应援信物都是王者荣耀“世冠决赛应援得好礼”活动中的兑换道具,前者可用于兑换战队信物,后者可用于兑换选手信物。下面就是总决赛FMVP应援信物速刷攻...
最近是一年一度的大闸蟹季,螃蟹又肥又好吃。可是偶尔不小心买多了,一次性又吃不完,该怎么办?灵魂发问:怎么才能让我的大闸蟹别那么快死掉?我想让它多活几天!老爸评测硬核实验来了!我们买了12只大闸蟹(6公...
痘痘也叫做痤疮,是困扰许多人的一种疾病,特别是脖子上长痘痘特别的让人烦恼,遮也遮不住,挡也挡不了,那么大家知道脖子上长痘痘是什么原因吗? 脖子上长痘痘的原因有哪些? 长在背部的痘痘可以用衣服挡...
有什么可以自学黑客技术的网站(自学黑客技术的网站)(tiechemo.com)一直致力于黑客(HACK)技术、黑客QQ群、信息安全、web安全、渗透运维、黑客工具、找黑客、黑客联系方式、24小时在线网...