文章目錄
- 0x00 應急響應介紹
- 0x01 Windows - 應急響應處置過程
- 0x02 Windows - 安全建議
- 0x03 Linux - 應急響應處置過程
- 0x04 Linux - 工具篇
- 0x05 勒索病毒自救指南
- 0x06 參考鏈接
0x00 應急響應介紹
當企業發生黑客入侵、系統崩潰或其它影響業務正常運行的安全事件時,急需第一時間進行處理,使企業的網絡信息系統在最短時間內恢復正常工作,進一步查找入侵來源,還原入侵事故過程,同時給出解決方案與防範措施,爲企業挽回或減少經濟損失。
常見的應急響應事件分類
web入侵:網頁掛馬、主頁篡改、Webshell
系統入侵:病毒木馬、勒索軟件、遠控後門
網絡攻擊:DDOS攻擊、DNS劫持、ARP欺騙
入侵排查思路
web入侵:對中間件日誌進行分析
系統入侵:計劃任務,系統爆破痕跡(系統日誌),進程進行分析
網絡攻擊:流量分析
0x01 Windows - 應急響應處置過程
1.1 檢查系統賬號安全
1.1.1 檢查服務器是否有弱口令
1.1.2 檢查遠程管理端口是否對公網開放
1.1.3 查看服務器是否存在可疑賬號、新增賬號
打開 cmd 窗口,輸入lusrmgr.msc命令,查看是否有新增/可疑的賬號,如有管理員羣組的(Administrators)裏的新增賬戶,如有,請立即禁用或刪除掉。
1.1.4 查看服務器是否存在隱藏賬號、克隆賬號
a、打開註冊表 ,查看管理員對應鍵值。
b、使用D盾_web查殺工具,D盾_web查殺集成了對克隆賬號檢測的功能
c、windows賬號信息,隱藏賬號
打開 cmd 窗口,輸入lusrmgr.msc命令,用戶名以
LogParser.exe -i:EVT "select TimeGenera as LoginTime,EXTRACT_TOKEN<Strings,5,'|'> as username FROM c: where ntID=4624"
1.2 檢查異常端口、進程
1.2.1 檢查端口連接情況,是否有遠程連接、可疑連接
a、通過netstat查看目前的網絡連接,定位可疑的ESTABLISHED
netstat -ano
b、根據netstat 定位出的pid,再通過tasklist命令進行進程定位
tasklist | findstr "PID"
1.2.2 檢查進程
a、開始–運行–輸入msinfo32,依次點擊“軟件環境→正在運行任務”就可以查看到進程的詳細信息,比如進程路徑、進程ID、文件創建日期、啓動時間等。
b、打開D盾_web查殺工具,進程查看,關注沒有簽名信息的進程。
c、通過微軟官方提供的 Process Explorer 等工具進行排查 。
d、查看可疑的進程及其子進程。可以通過觀察以下內容:
-
沒有簽名驗證信息的進程
-
沒有描述信息的進程
-
進程的屬主
-
進程的路徑是否合法
-
CPU或內存資源佔用長時間過高的進程
1.3 計劃任務
1.3.1 任務計劃程序
控制面板 — 管理工具 — 任務計劃程序,或運行 — taskschd.msc,或通過命令查看計劃任務 schtasks
存放計劃任務的文件
- C:\Windows\System32\Tasks\
- C:\Windows\SysWOW64\Tasks\
- C:\Windows\tasks\
- *.job(指文件)
1.3.2 自啓動
【開始】-【運行】- 【輸入shell:startup】,查看是否存在開機自啓動項目
1.3.3 組策略
【開始】-【運行】- 【輸入gpedit.msc】,查看是否存在腳本啓動
1.4 查看可疑目錄及文件
查看 host :
cmd運行如下命令:
type %systemroot%\System32\drivers\etc\hosts
查看Recent:
Recent是系統文件夾,裏面存放着你最近使用的文檔的快捷方式,查看用戶recent相關文件,通過分析最近打開分析可疑文件:
單擊【開始】>【運行】,輸入%UserProfile%\Recent,分析最近打開分析可疑文件。
查看temp:
路徑爲 C:\Windows\Temp。查看temp(tmp)相關目錄下有無異常文件 :Windows產生的臨時文件
查看shift:
連按shift鍵5次,查看是否存在後門
查看ntfs數據流:
# 查找出可疑數據流命令
dir /s /r | findstr -i "$data" | findstr -vi "identifier"
# 將所有數據流存儲到txt文本以便查找目標數據流的地址:
dir /s /r > all.txt
1.5 中間件日誌分析
**tomcat:**安裝目錄下logs文件夾localhost_access_log.日期.txt (我們分析一般針對這個進行分析)
這個是存放訪問tomcat的請求的所有地址以及請求的路徑、時間,請求協議以及返回碼等信息(重要)
例如:
127.0.0.1 - - [29/May/2020:12:03:06 +0800] "GET /tomcat.css HTTP/1.1" 200 5581
# 請求IP -- 請求時間 ---請求方式---請求路徑---請求協議---狀態碼---字節包
# 對請求路徑進行分析,定位攻擊者
**apache:**安裝目錄下logs文件夾 access.log(格式與tomcat一致)
127.0.0.1 - - [13/May/2020:20:26:48 +0800] "GET /index.php HTTP/1.1" 404 196
# 請求IP -- 請求時間 ---請求方式---請求路徑---請求協議---狀態碼---字節包
# 對請求路徑進行分析,定位攻擊者
1.6 查看日誌
打開控制面板——系統和安全——查看事件日誌(或eventvwr.msc),就進入了事件查看器
打開左側事件查看器(本地)——Windows日誌——安全
進行事件篩查,重要的事件 ID(安全日誌,Security.evtx):
- 4776:遠程登陸(如3389)到本機日誌
- 4624:用戶賬戶登錄成功
- 4625:用戶賬戶登錄失敗
- 1102:記錄安全審計日誌清除事件
- 4720:創建用戶
- 4726:刪除用戶
- 4732:將成員添加到啓用安全的本地組中
- 4733:將成員從啓用安全的本地組中移除
- 4728:將成員添加到啓用安全的全局組中
- 4729:將成員從啓用安全的全局組中移除
1.7 檢查第三方軟件漏洞
如果服務器內有運行對外應用軟件(WWW、FTP 等),應對軟件進行配置,限制應用程序的權限,禁止目錄瀏覽或文件寫權限
0x02 Windows - 安全建議
-
系統確認被入侵後,往往系統文件會被更改和替換,此時系統已經變得不可信,最好的方法就是重新安裝系統, 同時給新系統安裝所有補丁。
-
改變所有系統賬號的密碼爲複雜密碼(至少與入侵前不一致)。
-
修改默認遠程桌面端口,操作如下:
單擊【開始】>【運行】,然後輸入 regedit。
打開註冊表,進入如下兩處路徑,修改下右側的 PortNamber 值爲其他值# 第一處 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp # 第二處 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp -
配置安全組防火牆白名單,只允許指定 IP 才能訪問遠程桌面端口。
-
定期備份重要業務數據和文件。
-
定期更新操作系統及應用程序組件版本(如 FTP、Struts2 等),防止被漏洞利用。
0x03 Linux - 應急響應處置過程
3.1 賬號安全
3.1.1 基本使用
1、用戶信息文件/etc/passwd
root:x:0:0:root:/root:/bin/bash
account:password:UID:GID:GECOS:directory:shell
用戶名:密碼:用戶ID:組ID:用戶說明:家目錄:登陸之後shell
注意:無密碼只允許本機登陸,遠程不允許登陸
2、影子文件/etc/shadow
root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
用戶名:加密密碼:密碼最後一次修改日期:兩次密碼的修改時間間隔:密碼有效期:密碼修改到期到的警告天數:密碼過期之後的寬限天數:賬號失效時間:保留
3、用戶查看基本命令
who 查看當前登錄用戶(tty本地登陸 pts遠程登錄)
w 查看系統信息,想知道某一時刻用戶的行爲
uptime 查看登陸多久、多少用戶,負載
3.1.2 入侵排查
1、查詢特權用戶(uid 爲0)
awk -F: '$3==0{print $1}' /etc/passwd
2、查詢可以遠程登錄的帳號信息
awk '/\$1|\$6/{print $1}' /etc/shadow
3、除root帳號外,其他帳號是否存在sudo權限。如非管理需要,普通帳號應刪除sudo權限
more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
4、禁用或刪除多餘及可疑的帳號
usermod -L user 禁用帳號,帳號無法登錄,/etc/shadow第二欄爲!開頭
userdel user 刪除user用戶
userdel -r user 將刪除user用戶,並且將/home目錄下的user目錄一併刪除
3.2 歷史命令
通過.bash_history文件查看帳號執行過的系統命令
# root的歷史命令
cat /root/.bash_history
# home下用戶的歷史命令
cat /home/user/.bash_history
3.3 檢查異常端口
使用netstat 網絡連接命令,分析可疑端口、IP、PID
netstat -antp | more
查看下pid所對應的進程文件路徑
運行ls -l /proc/$PID/exe或file /proc/$PID/exe($PID 爲對應的pid 號)
3.4 檢查異常進程
使用ps命令,分析進程
ps ef | grep pid
3.5 檢查開機啓動項
開機啓動配置文件目錄
/etc/rc.local
/etc/ld.so.preload
/etc/rc[0~6].d # 常用爲3
檢查不同等級啓動目錄下的啓動項,如:
ls /etc/rc3.d
3.6 檢查定時任務
3.6.1 基本使用
1、crontab創建計劃任務
crontab -l # 列出計劃任務的詳細內容
crontab -r # 刪除每個用戶cront任務(謹慎:刪除所有的計劃任務)
crontab -e # 使用編輯器編輯當前的crontab文件
如:*/1 * * * * echo "hello world" >> /tmp/test.txt 每分鐘寫入文件
2、利用anacron實現異步定時任務調度
每天運行 /home/backup.sh腳本
vi /etc/anacrontab @daily 10 example.daily /bin/bash /home/backup.sh
當機器在 backup.sh 期望被運行時是關機的,anacron會在機器開機十分鐘之後運行它,而不用再等待 7天。
3.6.2 入侵排查
重點關注以下目錄中是否存在惡意腳本
/var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*
3.7 檢查服務
3.7.1 基本使用
1、通過chkconfig(該工具基於redhat)修改服務啓動狀態
chkconfig [--level 運行級別] [獨立服務名] [on|off]
chkconfig –level 2345 httpd on 開啓自啓動
chkconfig httpd on (默認level是2345)
2、通過rc.local文件修改服務啓動狀態
vim /etc/re.d/rc.local
加入/etc/init.d/httpd start
3.7.2 入侵排查
查詢已安裝的服務:
- RPM包安裝的服務
# 查看服務自啓動狀態,可以看到所有的RPM包安裝的服務
chkconfig --list
# 系統在3與5級別下的啓動項
# 中文環境
chkconfig --list | grep "3:啓用\|5:啓用"
# 英文環境
chkconfig --list | grep "3:on\|5:on"
- 源碼包安裝的服務
# 查看服務安裝位置 ,一般是在/user/local/目錄下
service httpd start
搜索/etc/rc.d/init.d/查看是否存在
3.8 檢查異常文件
1、查看敏感目錄,如/tmp目錄下的文件,同時注意隱藏文件夾,以“…”爲名的文件夾具有隱藏屬性
2、得到發現WEBSHELL、遠控木馬的創建時間,如何找出同一時間範圍內創建的文件?可以使用find命令來查找,如:
# 找出/opt目錄下,一天前訪問過的文件
find /opt -iname "*" -atime 1 -type f
iname:文件名不區分大小寫
atime :最近一次文件訪問的時間
mtime:最近一次文件內容被修改的時間
ctime:最近一次文件屬性改變的時間
type :文件類型
針對可疑文件可以使用stat命令查看文件屬性,如:
stat /opt/backup.sh
3.9 檢查系統日誌
3.9.1 linux日誌介紹
日誌默認存放位置:/var/log/
查看日誌配置情況:more /etc/rsyslog.conf
| 日誌文件 | 說明 |
|---|---|
| /var/log/cron | 記錄了系統定時任務相關的日誌 |
| /var/log/cups | 記錄打印信息的日誌 |
| /var/log/dmesg | 記錄了系統在開機時內核自檢的信息,也可以使用dmesg命令直接查看內核自檢信息 |
| /var/log/mailog | 記錄郵件信息 |
| /var/log/message | 記錄系統重要信息的日誌。這個日誌文件中會記錄Linux系統的絕大多數重要信息,如果系統出現問題時,首先要檢查的就應該是這個日誌文件 |
| /var/log/btmp | 記錄錯誤登錄日誌,這個文件是二進制文件,不能直接vi查看,而要使用lastb命令查看 |
| /var/log/lastlog | 記錄系統中所有用戶最後一次登錄時間的日誌,這個文件是二進制文件,不能直接vi,而要使用lastlog命令查看 |
| /var/log/wtmp | 永久記錄所有用戶的登錄、註銷信息,同時記錄系統的啓動、重啓、關機事件。同樣這個文件也是一個二進制文件,不能直接vi,而需要使用last命令來查看 |
| /var/log/utmp | 記錄當前已經登錄的用戶信息,這個文件會隨着用戶的登錄和註銷不斷變化,只記錄當前登錄用戶的信息。同樣這個文件不能直接vi,而要使用w,who,users等命令來查詢 |
| /var/log/secure | 記錄驗證和授權方面的信息,只要涉及賬號和密碼的程序都會記錄,比如SSH登錄,su切換用戶,sudo授權,甚至添加用戶和修改用戶密碼都會記錄在這個日誌文件中 |
3.9.2 日誌分析技巧:
1、定位有多少IP在爆破主機的root帳號:
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
定位有哪些IP在爆破:
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
爆破用戶名字典是什麼:
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
2、登錄成功的IP有哪些:
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
登錄成功的日期、用戶名、IP:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
3、增加用戶日誌:
grep "useradd" /var/log/secure
# Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001
# Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali, shell=/bin/bash
# Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali
4、刪除用戶日誌:
grep "userdel" /var/log/secure
# Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'
# Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'
# Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'
5、sudo授權:
sudo -l
# Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now
0x04 Linux - 工具篇
4.1 Rootkit查殺
Rootkit是一種特殊的惡意軟件,它的功能是在安裝目標上隱藏自身及指定的文件、進程和網絡鏈接等信息,比較多見到的是Rootkit一般都和木馬、後門等其他惡意程序結合使用。Rootkit一詞更多地是指被作爲驅動程序,加載到操作系統內核中的惡意軟件。
4.1.1 chkrootkit(推薦)
使用方法:
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz
cd chkrootkit-0.52
make sense
#編譯完成沒有報錯的話執行檢查
./chkrootkit
4.1.2 rkhunter
網址:http://rkhunter.sourceforge.net
使用方法:
Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz
tar -zxvf rkhunter-1.4.4.tar.gz
cd rkhunter-1.4.4
./installer.sh --install
rkhunter -c
4.2 病毒查殺
4.2.1 Clamav
ClamAV的官方下載地址爲:http://www.clamav.net/download.html
安裝方式一:
1、安裝zlib:
wget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz
tar -zxvf zlib-1.2.7.tar.gz
cd zlib-1.2.7
#安裝一下gcc編譯環境: yum install gcc
CFLAGS="-O3 -fPIC" ./configure --prefix= /usr/local/zlib/
make && make install
2、添加用戶組clamav和組成員clamav:
groupadd clamav
useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav
3、安裝Clamav
tar –zxvf clamav-0.97.6.tar.gz
cd clamav-0.97.6
./configure --prefix=/opt/clamav --disable-clamav -with-zlib=/usr/local/zlib
make
make install
4、配置Clamav
mkdir /opt/clamav/logs
mkdir /opt/clamav/updata
touch /opt/clamav/logs/freshclam.log
touch /opt/clamav/logs/clamd.log
cd /opt/clamav/logs
chown clamav:clamav clamd.log
chown clamav:clamav freshclam.log
5、ClamAV 使用:
/opt/clamav/bin/freshclam 升級病毒庫
./clamscan –h 查看相應的幫助信息
./clamscan -r /home 掃描所有用戶的主目錄就使用
./clamscan -r --bell -i /bin 掃描bin目錄並且顯示有問題的文件的掃描結果
安裝方式二:
#安裝
yum install -y clamav
#更新病毒庫
freshclam
#掃描方法
clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log
clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log
clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log
#掃描並殺毒
clamscan -r --remove /usr/bin/bsd-port
clamscan -r --remove /usr/bin/
clamscan -r --remove /usr/local/zabbix/sbin
#查看日誌發現
cat /root/usrclamav.log |grep FOUND
4.3 webshell查殺
河馬webshell查殺:http://www.shellpub.com
深信服Webshell網站後門檢測工具:http://edr.sangfor.com.cn/backdoor_detection.html
4.4 RPM check檢查
系統完整性可以通過rpm自帶的-Va來校驗檢查所有的rpm軟件包,查看哪些命令是否被替換了:
./rpm -Va > rpm.log
如果一切均校驗正常將不會產生任何輸出,如果有不一致的地方,就會顯示出來,輸出格式是8位長字符串,每個字符都用以表示文件與RPM數據庫中一種屬性的比較結果 ,如果是. (點) 則表示測試通過。
驗證內容中的8個信息的具體內容如下:
S 文件大小是否改變
M 文件的類型或文件的權限(rwx)是否被改變
5 文件MD5校驗是否改變(可以看成文件內容是否改變)
D 設備中,從代碼是否改變
L 文件路徑是否改變
U 文件的屬主(所有者)是否改變
G 文件的屬組是否改變
T 文件的修改時間是否改變
如果命令被替換了,如何還原回來:
文件提取還原案例:
rpm -qf /bin/ls 查詢ls命令屬於哪個軟件包
mv /bin/ls /tmp 先把ls轉移到tmp目錄下,造成ls命令丟失的假象
rpm2cpio /mnt/cdrom/Packages/coreutils-8.4-19.el6.i686.rpm | cpio -idv ./bin/ls 提取rpm包中ls命令到當前目錄的/bin/ls下
cp /root/bin/ls /bin/ 把ls命令複製到/bin/目錄 修復文件丟失
4.5 linux安全檢查腳本
Github項目地址:
https://github.com/grayddq/GScan
https://github.com/ppabc/security_check
https://github.com/T0xst/linux
0x05 勒索病毒自救指南
勒索病毒採用非對稱加密,能否解密全憑運氣,因此平時還是要注意勤打補丁多備份。
該指南介紹通過勒索病毒索引引擎查找勒索病毒相關信息,再通過各個安全公司提供的免費勒索軟件解密工具解密。
5.1 勒索病毒搜索引擎
在勒索病毒搜索引擎輸入病毒名、勒索郵箱、被加密後文件的後綴名,或直接上傳被加密文件、勒索提示信息,即可快速查找到病毒詳情和解密工具。
【360】 勒索病毒搜索引擎,支持檢索超過800種常見勒索病毒,
http://lesuobingdu.360.cn
【騰訊】 勒索病毒搜索引擎,支持檢索超過 300 種常見勒索病毒
https://guanjia.qq.com/pr/ls/
【啓明】VenusEye勒索病毒搜索引擎,超300種勒索病毒家族
https://lesuo.venuseye.com.cn/
【奇安信】勒索病毒搜索引擎
https://lesuobingdu.qianxin.com/
【深信服】勒索病毒搜索引擎
https://edr.sangfor.com.cn/#/information/ransom_search
這些網站的解密能力還在持續更新中,是值得收藏的幾個勒索病毒工具型網站。
5.2 勒索軟件解密工具集
很多安全公司都提供了免費的勒索病毒解密工具下載,收集和整理相關下載地址,可以幫助我們瞭解和獲取最新的勒索病毒解密工具。
【騰訊哈勃】勒索軟件專殺工具
https://habo.qq.com/tool/index
【金山毒霸】勒索病毒免疫工具
http://www.duba.net/dbt/wannacry.html
【火絨】安全工具下載
http://bbs.huorong.cn/forum-55-1.html
【瑞星】解密工具下載
http://it.rising.com.cn/fanglesuo/index.html
【nomoreransom】勒索軟件解密工具集
https://www.nomoreransom.org/zh/index.html
【MalwareHunterTeam】勒索軟件解密工具集
https://id-ransomware.malwarehunterteam.com/
【卡巴斯基】免費勒索解密器
https://noransom.kaspersky.com/
【Avast】免費勒索軟件解密工具
https://www.avast.com/zh-cn/ransomware-decryption-tools
【Emsisoft】免費勒索軟件解密工具
https://www.emsisoft.com/ransomware-decryption-tools/free-download
【Github項目】勒索病毒解密工具收集彙總
https://github.com/jiansiting/Decryption-Tools