收藏 | 應(yīng)急響應(yīng)的基本流程

注意在整個(gè)過程中不要被客戶或現(xiàn)場(chǎng)的運(yùn)維人員誤導(dǎo)。
操作前需先征得客戶許可。
因?qū)嶋H的應(yīng)急情況會(huì)比較復(fù)雜，因此需根據(jù)實(shí)際情況進(jìn)行靈活處置。

1.了解情況

1. 發(fā)生時(shí)間：詢問客戶發(fā)現(xiàn)異常事件的具體時(shí)間，后續(xù)的操作要基于此時(shí)間點(diǎn)進(jìn)行追蹤分析。

2. 受影響系統(tǒng)類型：詢問具體的操作系統(tǒng)類型及相關(guān)情況，以便后續(xù)的應(yīng)急處置。

• windows/linux

• 財(cái)務(wù)系統(tǒng)/OA系統(tǒng)/官網(wǎng)，系統(tǒng)重要性，是否可關(guān)停

• 是否有弱口令，遠(yuǎn)程管理端口是否開放

• 都開放了什么端口，有什么服務(wù)，服務(wù)是否存在風(fēng)險(xiǎn)性

• 必要的話現(xiàn)場(chǎng)檢測(cè)，不要完全相信聽來的東西

3. 異常情況：

• 文件被加密

• 設(shè)備無法正常啟動(dòng)

• 勒索信息展示

• CPU利用率過高

• 網(wǎng)頁(yè)掛馬/黑鏈

• 對(duì)外發(fā)送異常請(qǐng)求

• 對(duì)外發(fā)送垃圾短信

• 等非正常的情況

4. 已有的處置措施：

• 之前是否存在此類問題

• 是否在出現(xiàn)問題后配置了新的策略

• 是否已有第三方已進(jìn)行了應(yīng)急處理，處理結(jié)果是什么

• 是否有其他處置措施

5. 系統(tǒng)架構(gòu)/網(wǎng)絡(luò)拓?fù)洌菏欠衲芴峁┚W(wǎng)絡(luò)拓?fù)鋱D

6. 能否提供以下日志

• 服務(wù)器日志

• 應(yīng)用日志，重點(diǎn)web日志

• 數(shù)據(jù)庫(kù)日志

7. 已有的安全設(shè)備

• 終端殺軟

• 防火墻

• WAF

• 流量分析設(shè)備

8. 基本的應(yīng)急處置方案

• 臨時(shí)處置方案

• 勒索病毒處置方案

• 挖礦程序處置預(yù)案

• 網(wǎng)頁(yè)掛馬處置預(yù)案

• DDOS處置預(yù)案

• 內(nèi)部數(shù)據(jù)泄露處置預(yù)案

• 其他處置預(yù)案

9. 應(yīng)急報(bào)表：

• 包含下述應(yīng)急方法

• 端口開放情況，及各個(gè)端口應(yīng)用分析，處置建議

2. 遏制傳播風(fēng)險(xiǎn)

• 禁止被感染主機(jī)使用U盤，移動(dòng)硬盤。如必須使用做好備份

• 禁用所有無線/有線網(wǎng)卡或直接拔網(wǎng)線

• 關(guān)閉相關(guān)端口

• 劃分隔離網(wǎng)絡(luò)區(qū)域

• 封存主機(jī)，相關(guān)數(shù)據(jù)備份

• 被感染主機(jī)應(yīng)用服務(wù)下線

• 被感染主機(jī)部分功能暫停

• 被感染主機(jī)相關(guān)賬號(hào)降權(quán)，更改密碼

• 勒索病毒處置 - 核心是止損,這點(diǎn)非常重要

1. 通過各類檢查設(shè)備和資產(chǎn)發(fā)現(xiàn)，確定感染面；

2. 通過網(wǎng)絡(luò)訪問控制設(shè)備或斷網(wǎng)隔離感染區(qū)域，避免病毒擴(kuò)散；

3. 迅速啟動(dòng)殺毒或備份恢復(fù)措施，恢復(fù)受感染主機(jī)的業(yè)務(wù)，恢復(fù)生產(chǎn)。（這點(diǎn)最重要，因?yàn)槭潜Ｕ蠘I(yè)務(wù)的關(guān)鍵動(dòng)作）

4. 啟動(dòng)或部署監(jiān)測(cè)設(shè)備，針對(duì)病毒感染進(jìn)行全面監(jiān)測(cè)，避免死灰復(fù)燃。

5. 在生產(chǎn)得到恢復(fù)并無蔓延之后，收集所有相關(guān)的樣本、日志等，開展技術(shù)分析，并尋找感染源頭，并制定整改計(jì)劃。

3.已知高危漏洞排查

• 可與下面的步驟同時(shí)進(jìn)行，掃描高危漏洞。但要注意掃描產(chǎn)生的大量日志不要影響漏洞排查

4.系統(tǒng)基本信息

• Windows

1）查看當(dāng)前系統(tǒng)的補(bǔ)丁信息?systeminfo

• Linux

1）列出系統(tǒng)arp表，重點(diǎn)查看網(wǎng)關(guān)mac地址?arp -a

2）文件搜索命令?find / -name ".asp"

• 重點(diǎn)關(guān)注

1）系統(tǒng)內(nèi)是否有非法賬戶

2）系統(tǒng)中是否含有異常服務(wù)程序

3）系統(tǒng)是否存在部分文件被篡改，或發(fā)現(xiàn)有新的文件

4）系統(tǒng)安全日志中的非正常登陸情況

5）網(wǎng)站日志中是否有非授權(quán)地址訪問管理頁(yè)面記錄

6）根據(jù)進(jìn)程、連接等信息關(guān)聯(lián)的程序，查看木馬活動(dòng)信息。

7）假如系統(tǒng)的命令（例如netstat ls 等）被替換，為了進(jìn)一步排查，需要下載一新的或者從其他未感染的主機(jī)拷貝新的命令。

8）發(fā)現(xiàn)可疑可執(zhí)行的木馬文件，不要急于刪除，先打包備份一份。

9）發(fā)現(xiàn)可疑的文本木馬文件，使用文本工具對(duì)其內(nèi)容進(jìn)行分析，包括回連IP地址、加密方式、關(guān)鍵字（以便擴(kuò)大整個(gè)目錄的文件特征提取）等。

5.異常連接排查

• Windows

1）查看目前的網(wǎng)絡(luò)連接，定位可疑的 ESTABLISHED?netstat -ano

netstat -ano | findstr ESTABLISH
參數(shù)說明：-a  顯示所有網(wǎng)絡(luò)連接、路由表和網(wǎng)絡(luò)接口信息-n  以數(shù)字形式顯示地址和端口號(hào)-o  顯示與每個(gè)連接相關(guān)的所屬進(jìn)程 ID-r  顯示路由表-s  顯示按協(xié)議統(tǒng)計(jì)信息、默認(rèn)地、顯示 IPLISTENING      偵聽狀態(tài)ESTABLISHED    建立連接CLOSE_WAIT?????對(duì)方主動(dòng)關(guān)閉連接或網(wǎng)絡(luò)異常導(dǎo)致連接中斷

2）查看端口對(duì)應(yīng)的pid?netstat -ano | findstr "port"

3）netstat -nb?顯示在創(chuàng)建每個(gè)連接或偵聽端口時(shí)涉及的可執(zhí)行程序，需要管理員權(quán)限，這條指令對(duì)于查找可疑程序非常有幫助。

• Linux

1）列出所有打開了網(wǎng)絡(luò)套接字（TCP和UDP）的進(jìn)程
lsof -i
lsof -i|grep -E "LISTEN|ESTABLISHED"

2）列出所有打開的端口及連接狀態(tài)
netstat -antlp
netstat -an

說明-a  顯示所有連線中的 Socket。-n  直接使用 IP 地址,而不通過域名服務(wù)器。-t  顯示 TCP 傳輸協(xié)議的連線狀況。-u  顯示 UDP 傳輸協(xié)議的連線狀況。-v  顯示指令執(zhí)行過程。-p   顯示正在使用 Socket 的程序識(shí)別碼和程序名稱。-s???顯示網(wǎng)絡(luò)工作信息統(tǒng)計(jì)表

6.正在運(yùn)行的異常進(jìn)程排查

• Windows

1）查看異常進(jìn)程?任務(wù)管理器

2）顯示運(yùn)行在本地或遠(yuǎn)程計(jì)算機(jī)上的所有進(jìn)程?tasklist | findstr 11223

根據(jù)netstat定位出的異常進(jìn)程的pid，再通過tasklist命令進(jìn)行進(jìn)程定位

1）根據(jù) wmic process 獲取進(jìn)程的全路徑?wmic process | findstr "xx.exe"

2）查看進(jìn)程的詳細(xì)信息，比如進(jìn)程路徑，進(jìn)程ID，文件創(chuàng)建日期，啟動(dòng)時(shí)間等

"開始->運(yùn)行->msinfo32->軟件環(huán)境 -> 正在運(yùn)行任務(wù)"

1）關(guān)閉某個(gè)進(jìn)程?wmic process where processid="2345" delete

• Linux

1）查找進(jìn)程pid

netstat -antlp    先找出可疑進(jìn)程的端口lsof -i:port      定位可疑進(jìn)程pid

2）通過pid查找文件

linux每個(gè)進(jìn)程都有一個(gè)對(duì)應(yīng)的目錄cd /proc/pid號(hào)    即可進(jìn)入到該進(jìn)程目錄中ls -ail   結(jié)果中exe對(duì)應(yīng)的就是該pid程序的目錄ls -ail |grep exe

3）查看各進(jìn)程占用的內(nèi)存和cpu?top

4）顯示當(dāng)前進(jìn)程信息?ps

5）實(shí)現(xiàn)某個(gè)進(jìn)程的精確查找?ps -ef | grep apache

6）結(jié)束進(jìn)程?kill -9 pid

kill -9 4394

7）查看進(jìn)程樹?pstree -p?查找異常進(jìn)程是否有父進(jìn)程

8）也可以直接搜索異常進(jìn)程的名程來查找其位置，?find / -name 'xxx'

7.異常賬號(hào)排查

• Windows

1）圖形化界面查看當(dāng)前的賬戶和用戶組?lusrmgr.msc

2）查看當(dāng)前賬戶情況?net user

3）查看某個(gè)賬戶的詳細(xì)信息?net user Guest

4）查看當(dāng)前組的情況?net localgroup administrators

5）查看當(dāng)前系統(tǒng)會(huì)話，比如查看是否有人使用遠(yuǎn)程終端登陸服務(wù)器?query user

踢出該用戶  `logoff ID`  ID是上面查詢出來的。也可能是用戶名

• Linux

1）查看utmp日志，獲得當(dāng)前系統(tǒng)正在登陸賬戶的信息及地址?w

2）獲得系統(tǒng)前N次的登陸記錄?last | more

3）查看賬號(hào)情況?cat /etc/passwd

查找/etc/passwd 文件， /etc/passwd 這個(gè)文件是保存著這個(gè) linux 系統(tǒng)所有 用戶的信息，通過查看這個(gè)文件，我們就可以嘗試查找有沒有攻擊者所創(chuàng)建的用 戶，或者存在異常的用戶。我們主要關(guān)注的是第 3、4 列的用戶標(biāo)識(shí)號(hào)和組標(biāo)識(shí) 號(hào)，和倒數(shù)一二列的用戶主目錄和命令解析程序。一般來說最后一列命令解析程 序如果是設(shè)置為 nologin 的話，那么表示這個(gè)用戶是不能登錄的，所以可以結(jié)合 我們上面所說的 bash_history 文件的排查方法。首先在/etc/passwd 中查找命令 解釋程序不是 nologin 的用戶，然后再到這些用戶的用戶主目錄里，找到 bash_history，去查看這個(gè)用戶有沒執(zhí)行過惡意命令。/etc/passwd中一行記錄對(duì)應(yīng)著一個(gè)用戶，每行記錄又被冒號(hào)(:)分隔為7個(gè)字段， 其格式和具體含義如下：用戶名:口令:用戶標(biāo)識(shí)號(hào):組標(biāo)識(shí)號(hào):注釋性描述:主目錄:登錄 Shell  注意：無密碼只允許本機(jī)登陸，遠(yuǎn)程不允許登陸，某個(gè)版本之后好像因?yàn)榘踩珕栴}，passwd文件不再有密碼了

4）查看賬號(hào)情況?cat /etc/shadow

root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::  
用戶名：加密密碼：密碼最后一次修改日期：兩次密碼的修改時(shí)間間隔：密碼有效期：密碼修改到期到的警告天數(shù)：密碼過期之后的寬限天數(shù)：賬號(hào)失效時(shí)間：保留  

這里查賬號(hào)感覺好一點(diǎn)，一般系統(tǒng)的賬號(hào)都是沒有密碼的，所以找最長(zhǎng)的那幾個(gè)，那就是有密碼的賬戶，很可能就是被黑客添加的后門賬戶

5）linux非root用戶文件夾所在位置?/home

6）查看所有賬戶最后一次登陸時(shí)間?lastlog

7）顯示用戶登陸錯(cuò)誤的記錄?lastb?檢查暴力破解

8）顯示用戶最近登陸信息?last

數(shù)據(jù)源為/var/log/wtmp/var/log/wtmp.1/var/log/btmp/var/log/btmp.1

9）查看當(dāng)前登陸用戶?who?（tty本地登陸 pts遠(yuǎn)程登錄）

10）查看當(dāng)前時(shí)刻用戶行為?w

11）查看登陸多久，多少用戶，負(fù)載?uptime

12）禁用賬戶，賬號(hào)無法登陸，/etc/shadow 第二欄為！開頭?usermod -L user

13）刪除user用戶?userdel -r user

14）創(chuàng)建用戶

useradd admin     #創(chuàng)建一個(gè)用戶，在home目錄下不創(chuàng)建文件夾passwd admin      #修改之前創(chuàng)建的賬號(hào)的密碼adduser admin2    #是一個(gè)比較完善的創(chuàng)建用戶的命令，會(huì)在home目錄下生成一個(gè)admin2的文件夾

15）刪除用戶

userdel admin2     #這樣刪除的話不完全，home目錄下的admin2目錄不會(huì)刪除userdel -rf admin   #-r 完全刪除一個(gè)賬戶   -f強(qiáng)制刪除如果遇到賬戶刪除顯示已經(jīng)刪除，但創(chuàng)建同名的用戶提示用戶已存在的情況，嘗試以下方法進(jìn)行刪除。手動(dòng)刪除passwd、shadow、group里面用戶相關(guān)字段，以及用戶相關(guān)的log和mail，并強(qiáng)制刪除home目錄下用戶的文件夾。/home/etc/passwd/etc/group/var/spool/mail

8.異常文件分析

• Windows

1）查看文件時(shí)間?右鍵查看文件屬性，查看文件時(shí)間

2）Recent 是系統(tǒng)文件夾，里面存放著你最近使用的文檔的快捷方式，查看用 戶 recent 相關(guān)文件，通過分析最近打開分析可疑文件?%UserProfile%\Recent

3）通過文件時(shí)間屬性來定位可疑文件:根據(jù)文件夾內(nèi)文件列表時(shí)間進(jìn)行排序，查找可疑文件。當(dāng)然也可以搜索指 定日期范圍的文件及文件 查看文件時(shí)間，創(chuàng)建時(shí)間、修改時(shí)間、訪問時(shí)間，黑客通過菜刀類工具改 變的是修改時(shí)間。所以如果修改時(shí)間在創(chuàng)建時(shí)間之前明顯是可疑文件

• Linux

1）分析文件日期?stat xx.asp

2）返回最近24小時(shí)內(nèi)修改過的文件?find ./ -mtime 0

返回的是前48~24小時(shí)修改過的文件  find ./ -mtime 1返回10天內(nèi)修改過的文件，可以把最近幾天的數(shù)據(jù)一天天的加起來  find ./ -mtime 0 -o -mtime 1 -o -mtime 2查找 24 小時(shí)內(nèi)被修改的 php 文件  find ./ -mtime 0 -name "*.php"

3）敏感目錄的文件分析 [類/tmp 目錄，命令目錄/usr/bin /usr/sbin 等], 查看 tmp 目錄下的文件??ls –alt /tmp/ | head -n 10?這樣是按時(shí)間順序查出來的結(jié)果

4）特殊權(quán)限文件查找

find / *.jsp -perm 777find / -perm 777 |morefind / *.sh -perm 777|grep .sh

5）隱藏的文,以 "."開頭的具有隱藏屬性的文件,當(dāng)前目錄查找?ls -ar |grep "^\."

6）i linux文件不可修改權(quán)限

chattr +I filename    給文件添加不可修改權(quán)限chattr -I filename    將文件的不可修改權(quán)限去掉lsattr filename    查看文件是否設(shè)置了相關(guān)權(quán)限如果設(shè)置了該參數(shù)，則無論任何人想要?jiǎng)h除改文件均需要將此權(quán)限去掉

7）a linux文件不可修改權(quán)限

chattr +a filename    給文件添加只追加權(quán)限chattr -a filename    將文件的只追加權(quán)限去掉lsattr filename     查看文件的相關(guān)權(quán)限設(shè)置這個(gè)權(quán)限讓目標(biāo)只能追加，不能刪除，而且不能通過編輯器追加

8）查看ssh相關(guān)目錄有無可疑的公鑰存在
Redis（6379） 未授權(quán)惡意入侵，即可直接通過redis到目標(biāo)主機(jī)導(dǎo)入公鑰
目錄：/etc/ssh ./.ssh/

9.啟動(dòng)項(xiàng)排查

• Windows

1）查看開機(jī)啟動(dòng)有無異常文件?msconfig

2）win10開機(jī)啟動(dòng)文件夾

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp快捷查找方法，找一個(gè)安裝好的程序的快捷方式，右鍵打開文件位置，再進(jìn)入該目錄下的啟動(dòng)目錄即可。StartUp

3）win7開機(jī)啟動(dòng)文件夾

C:\Users\rpkr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup查找方式，開始>所有程序>啟動(dòng) ,03查找同此方法

4）在注冊(cè)表中查看開機(jī)啟動(dòng)項(xiàng)是否異常

開始->運(yùn)行->regedit，打開注冊(cè)表，查看開機(jī)啟動(dòng)項(xiàng)是否正常，特別注意如下三個(gè)注冊(cè)表項(xiàng)：HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\runHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce檢查右側(cè)是否有啟動(dòng)異常的項(xiàng)目，如有請(qǐng)刪除，并建議安裝殺毒軟件進(jìn)行病毒查殺，清除殘留病毒或木馬

• Linux

1）查看開機(jī)啟動(dòng)項(xiàng)內(nèi)容

ls -alt /etc/init.d//etc/init.d 是 /etc/rc.d/init.d  的軟連接

2）啟動(dòng)項(xiàng)文件?more /etc/rc.local

/etc/rc.d/rc[0~6].dls -l /etc/rc.d/rc3.d/ll /etc |grep rc

3）定時(shí)任務(wù)-基本使用

1.利用crontab創(chuàng)建計(jì)劃任務(wù)crontab -l 列出某個(gè)用戶 cron 服務(wù)的詳細(xì)內(nèi)容2.刪除每個(gè)用戶cront任務(wù)（慎重：刪除所有的計(jì)劃任務(wù)）crontab -r3.使用編輯器編輯當(dāng)前的crontab文件crontab -e如：*/1 * * * * echo ""hello word"" >> /tmp/test.txt 每分鐘寫入文件4.利用anacron實(shí)現(xiàn)異步定時(shí)任務(wù)調(diào)度每天運(yùn)行 /home/bacup.sh 腳本vi /etc/anacrontab#daily 10 example.daily /bin/bash /home/backup.sh當(dāng)機(jī)器在backup.sh期望被運(yùn)行時(shí)是關(guān)機(jī)的，anacron會(huì)在機(jī)器開機(jī)十分鐘后運(yùn)行它，而不用再等待7天ls -al /var/spool/cron/    查看隱藏的計(jì)劃任務(wù)Tips：默認(rèn)編寫的crontab文件會(huì)保存在（/var/spool/cron/用戶名 例如：/var/loop/cron/root）5.查看分析任務(wù)計(jì)劃crontab -u <-l, -r, -e>-u 指定一個(gè)用戶-l 列出某個(gè)用戶的任務(wù)計(jì)劃-r 刪除某個(gè)用戶的任務(wù)-e 編輯某個(gè)用戶的任務(wù)（編輯的是/var/spool/cron下對(duì)應(yīng)用戶的cron文件，也可以直接修改/etc/crontab文件）

10.計(jì)劃任務(wù)排查(定時(shí)任務(wù))

• Windows

1）查看Windows 計(jì)劃任務(wù)?taskschd.msc

或者  【程序】?【附件】?【系統(tǒng)工具】?【任務(wù)計(jì)劃程序】

• Linux

1）查看當(dāng)前計(jì)劃任務(wù)有哪些?crontab -l?是否有后門木馬程序啟動(dòng)相關(guān)信息

2）查看分析計(jì)劃任務(wù)?crontab -u <-l, -r, -e>

解釋-u 指定一個(gè)用戶-l 列出某個(gè)用戶的任務(wù)計(jì)劃-r 刪除某個(gè)用戶的任務(wù)-e  編輯某個(gè)用戶的任務(wù)（編輯的是/var/spool/cron 下對(duì)應(yīng)用戶的 cron 文件，也可以直接修改/etc/crontab 文件）

3）查看 etc 目錄任務(wù)計(jì)劃相關(guān)文件?ls -al /etc/cron*?cat /etc/crontab

4）此處要注意隱藏的計(jì)劃任務(wù)，在linux中以.開頭的文件為隱藏文件，要使用ls -al來查看

5）定時(shí)任務(wù) - 入侵排查
重點(diǎn)關(guān)注以下目錄中是否存在惡意腳本
/var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*
小技巧：more /etc/cron.daily/* 查看目錄下所有文件

11.日志排查

• Windows

1. 查看防護(hù)設(shè)備的日志

2. 打開日志管理器?eventvwr.msc

3. 查看暴力破解問題，篩選事件ID，win2008 4625

• Linux

1）查看歷史命令記錄文件?cat /root/.bash_history |more?,每個(gè)賬戶對(duì)應(yīng)的文件夾下都有這樣一個(gè)日志文件，但感覺記錄的不是特別全。可以直接在root下搜索 .bash_history 這個(gè)文件。

2）如有/var/log/secure日志，可觀察其進(jìn)行暴力破解溯源

3）ubuntu 建議使用lastb和last進(jìn)行暴力破解溯源

/var/log/message 系統(tǒng)啟動(dòng)后的信息和錯(cuò)誤日志，/var/log/secure 與安全相關(guān)的日志信息/var/log/maillog 與郵件相關(guān)的日志信息/var/log/cron 與定時(shí)任務(wù)相關(guān)的日志信息/var/log/spooler UUCP和news設(shè)備相關(guān)日志信息/var/log/boot.log 進(jìn)程啟動(dòng)和停止相關(guān)的日志消息

4）linux系統(tǒng)日志相關(guān)配置文件為/etc/rsyslog.conf（syslog.conf） 主要找 wget\ssh\scp\tar\zip 添加賬戶修改密碼一類的

• web服務(wù)器

1）無論任何web服務(wù)器，都需要關(guān)注以下的日志
access_log
error_log
access.log
error.log

2）apache日志位置

應(yīng)通過httpd.conf配置來判斷。在httpd.conf中搜索未被注釋的、以指令字CustomLog為起始的行，該行即指定了日志的存儲(chǔ)位置。搜索可使用文本搜索，也可使用grep進(jìn)行：grep -i CustomLog httpd.conf | grep -v ^#搜索結(jié)束后會(huì)獲得類似如下的搜索結(jié)果：CustomLog /var/mylogs/access.log common其中 /var/mylogs/access.log即為客戶日志的路徑。若此處未指明日志的完整路徑而只是列舉日志的文件名（如：access.log），則意指該文件存儲(chǔ)與默認(rèn)的日志存儲(chǔ)目錄下（即，/var/log/httpd 或 /var/httpd 目錄）。

3）IIS日志位置

IIS日志默認(rèn)存儲(chǔ)于 %systemroot%\system32\LogFiles\W3SVC目錄中，
日志命名方式為exYYMMDD.log（YYMMDD指：年 月 日）。
但I(xiàn)IS日志路徑也可通過用戶配置來指定，通過WEB站點(diǎn)配置可確認(rèn)其位置：
WEB站點(diǎn) — 屬性 — 網(wǎng)站 — W3C擴(kuò)展日志文件格式 — 屬性 — 日志文件目錄

• 數(shù)據(jù)庫(kù)

1）mysal - cat mysql.log|grep union

12.恢復(fù)階段

• 此階段以客戶為主，僅提供建議

1. webshell/異常文件清除

• 相關(guān)樣本取樣截圖留存

2. 恢復(fù)網(wǎng)絡(luò)

3. 應(yīng)用功能恢復(fù)

4. 補(bǔ)丁升級(jí)

5. 提供安全加固措施，推薦切合的安全產(chǎn)品

13.跟蹤總結(jié)

1. 分析事件原因

• 攻擊來源，IP

• 攻擊行為分析，弱口令、可以導(dǎo)致命令執(zhí)行的漏洞等

2. 輸出應(yīng)急報(bào)告

3. 事后觀察

4. 提供加固建議

附1 有毒沒毒還是要自己分辨的

• windows下常用的安全工具

linux下常用的安全工具-linux下不方便，可以把文件拷出來，用windows的工具去檢測(cè)

附2

1. 處理前先kill掉病毒進(jìn)程，避免插入的U盤被加密

2. 如果日志分析階段遇到困難，可對(duì)代碼進(jìn)行webshell查殺，可能會(huì)有驚喜

3. PC Hunter 數(shù)字簽名顏色說明：
   黑色：微軟簽名的驅(qū)動(dòng)程序；
   藍(lán)色：非微軟簽名的驅(qū)動(dòng)程序；
   紅色：驅(qū)動(dòng)檢測(cè)到的可疑對(duì)象，隱藏服務(wù)、進(jìn)程、被掛鉤函數(shù)；

4. ProcessExplorer (1).子父進(jìn)程一目了然；
   (2).屬性中的關(guān)鍵信息:
   [映像]->[路徑/命令行/工作目錄/自啟動(dòng)位置/父進(jìn)程/用戶/啟動(dòng)時(shí)間];[TCP/IP];[安全]->[權(quán)限]；
   (3).想了解不同顏色意思？[選項(xiàng)]->[配置顏色]；
   (4).打開procexp，在標(biāo)題欄右鍵，可以勾選其它一些選項(xiàng)卡
   (5).進(jìn)程標(biāo)識(shí)顏色不同是用于區(qū)分進(jìn)程狀態(tài)和進(jìn)程類型，進(jìn)程開始啟動(dòng)時(shí)為綠色，結(jié)束時(shí)為紅色
   可對(duì)某個(gè)進(jìn)程進(jìn)行操作，右鍵單擊即可

5. chkrootkit主要功能
   檢測(cè)是否被植入后門、木馬、rootkit/檢測(cè)系統(tǒng)命令是否正常/檢測(cè)登錄日志
   chkrootkit安裝：rpm -ivh chkrootkit-0.47-1.i386.rpm
   檢測(cè)，#chkrootkit –n；如果發(fā)現(xiàn)有異常，會(huì)報(bào)出“INFECTED”字樣

6. rkhunter主要功能：系統(tǒng)命令（Binary）檢測(cè)，包括Md5 校驗(yàn) Rootkit檢測(cè) 本機(jī)敏感目錄、系統(tǒng)配置、服務(wù)及套間異常檢測(cè) 三方應(yīng)用版本檢測(cè)

7. RPM check檢查 ./rpm -Va > rpm.log 下圖可知ps, pstree, netstat, sshd等等系統(tǒng)關(guān)鍵進(jìn)程被篡改了：

原文鏈接：https://github.com/1120362990/Paper/blob/master/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94-%E6%8A%80%E6%9C%AF%E6%80%A7.md#7%E5%BC%82%E5%B8%B8%E8%B4%A6%E5%8F%B7%E6%8E%92%E6%9F%A5公眾號(hào)排版：系統(tǒng)安全運(yùn)維

Linux學(xué)習(xí)指南
有收獲，點(diǎn)個(gè)在看?