一:日常巡檢:
1.日誌:
a:事件查看器中,查看日誌。應用程序,安全性,系統,觀察是否被***。
b:查看歷史記錄在c:\DOCUMENTS AND SETTINGS
c:修改後門賬號密碼。進去查看歷史瀏覽網頁等一些東西
2.進程,端口,網絡連接,服務:
a:tasklisk 查看進程
b:netstatt -an 查看端口連接狀態
c:使用一些安全工具,分析後臺***等
d:在服務中,查看是否插入了系統進程。。
4.cpu,內存,流量:
可能用服務器發動DDOS***,或者掃描其它服務器,導致cpu,內存達到峯值
5.用戶:
a:在cmd中使用net user
b:管理,本地用戶組,用戶。觀察裏面用戶賬號
c:在註冊表:HKEY_LOCAL_MACHINE --> software --> microsoft --> windows nt -->
currentversion --> profilelist中 快速檢測以前存在過哪些賬號
d:在註冊表中查看安裝軟件記錄HKEY_LOCAL_MACHINE --> software --> microsoft --> windows nt --> currentversion -->uninstall中
6.以及其他一些細節
a:***者軟件基本放在在c:\windows中,搜索*.exe來排查(顯示系統屬性文件,有
可能用attrib來更改屬性)
b:禁用掉***者可能利用的系統工具。如net,attrib等
c:在註冊表裏查看啓動項
二:應急響應報告:
框架大概:
目錄
1概況
2工作描述
2.1網絡和服務器情況
2.2被***情況
2.3***檢查過程
2.3.1C盤存在***上傳的文件
2.3.2對前段部分web網站http日誌進行分析
2.3.3查看系統隱藏進程
2.3.4對系統進行sniffer抓包
2.3.5對服務器安全日誌進行分析
3綜合分析
4改進建議
三:簡單預案方法:
1. 迅速隔離感染病毒的系統
2. 如果懷疑是病毒,則應該儘快將奧組委的網絡和外網隔離。在斷開與外網的連接之前,與LAN 、WAN的管理員一起確定最好的方案;
3. 儘快通知信息安全管理小組,如果10分鐘內不能聯繫到信息安全管理小組,則聯繫備份人員;
4. 在一小時之內通知信息安全分管領導,如果必要,信息安全分管領導應該向上級彙報;
5. 在2小時之內通知相關的主機管理員/網絡管理員
6. 在等待主機管理員/網絡管理員/過程中,嘗試去追溯***來源,並確定究竟有多少系統受到影響。備份系統的日誌文件和其他相關的文件;
7. 信息安全管理小組決定下一步應該做的工作,並分配做相應工作的人員;
8. 如果必要的話,信息安全管理小組應該向上級彙報,並在安全調查的基礎上寫出事件總結報告,送交相應的管理人員。