0x00 事件應(yīng)急響應(yīng)的流程分析

事件整個(gè)類型大致歸類于：

事件表現(xiàn)-信息收集-確認(rèn)攻擊類型-事件追查-修復(fù)

1）事件的表現(xiàn)：

網(wǎng)站類型：被篡改，信息丟失，亂碼等

文件類型：被篡改，丟失，泄露等

系統(tǒng)類型：系統(tǒng)卡頓，CPU爆滿，服務(wù)宕機(jī)等

流量類型：大量異常數(shù)據(jù)包，外部連接，網(wǎng)絡(luò)網(wǎng)速卡頓等

第三方類型：服務(wù)異常，運(yùn)行異常等

2）事件信息收集：windows-linux-MAC

對(duì)外服務(wù)情況

開(kāi)放端口情況

系統(tǒng)版本

網(wǎng)絡(luò)環(huán)境

漏洞情況

軟件相關(guān)平臺(tái)信息

口令整理收集

具備的防護(hù)情況

3）事件攻擊類型：

（1）WEB：漏洞攻擊，綜合類型攻擊，流量攻擊…。.

（2）第三方：數(shù)據(jù)庫(kù)，遠(yuǎn)程軟件，服務(wù)平臺(tái)…。.

（3）操縱系統(tǒng)：權(quán)限提權(quán)，內(nèi)網(wǎng)滲透，遠(yuǎn)程漏洞……。.

4）事件追查：

根據(jù)事件的表現(xiàn)選擇最佳方法追查與排查

1.日志分析

2.后門(mén)分析

3.流量分析

4.腳本軟件分析

5.模擬滲透方法分析……

5）修復(fù)：

0x01 簡(jiǎn)單的應(yīng)急事件分析思路：

案例1：客戶反應(yīng)自己的網(wǎng)站首頁(yè)被篡改，請(qǐng)求幫助

分析思路：攻擊面可能涉及到網(wǎng)站或者服務(wù)器權(quán)限，攻擊意圖篡改主頁(yè)

1.分析網(wǎng)站日志信息時(shí)間，將時(shí)間分段，判斷出準(zhǔn)備入侵時(shí)間段與入侵時(shí)間

2.查看服務(wù)器開(kāi)啟的端口信息，查看端口與對(duì)應(yīng)的進(jìn)程id #netstat -an

3.查看進(jìn)程id對(duì)應(yīng)的具體進(jìn)程是什么 #tasklist /svc

4.進(jìn)程管理器查看進(jìn)程文件所在位置進(jìn)行刪除或者修補(bǔ)

5.網(wǎng)站的日志記錄查看攻擊者IP等更更多信息

6.使用工具：河馬查殺：掃描網(wǎng)站目錄是否存在可疑文件，再去日志對(duì)應(yīng)的文件信息查看，可能獲取到攻擊者IP

步驟分析：

查看端口服務(wù)情況，是否有可以的端口服務(wù)開(kāi)啟—netstat -ano

查看進(jìn)程id對(duì)應(yīng)的進(jìn)程名：tasklist /svc

進(jìn)程管理查看你對(duì)應(yīng)進(jìn)程文件詳細(xì)信息以及位置：

河馬shell查殺工具檢測(cè)：將網(wǎng)站目錄全面掃描，配合上述分析事件

河馬shell查殺學(xué)習(xí)地址：https://www.shellpub.com/

十款查殺shell工具學(xué)習(xí)：https://www.cnblogs.com/xiaozi/p/12679777.html

分析后對(duì)造成的入侵進(jìn)行查殺封禁等操作，記錄事件。 **案例2：客戶反應(yīng)服務(wù)器卡頓，請(qǐng)求幫助

分析思路：系統(tǒng)卡慢、宕機(jī)、CPU和內(nèi)存占用高、網(wǎng)絡(luò)擁塞或斷網(wǎng)、磁盤(pán)空余空間無(wú)理由大幅度縮小等，根據(jù)以上表征，可以初步猜測(cè)系統(tǒng)面臨的問(wèn)題。

推薦監(jiān)測(cè)工具分析可疑進(jìn)程，利用殺毒軟件分析可疑文件，利用端口工具抓取流量分析

連接信息查看：netstat -abo | findstr TCP 指定進(jìn)程查看：tasklist | findstr 1716 服務(wù)查看：tasklist /SVC 動(dòng)態(tài)鏈接庫(kù)查看：tasklist /M 日志查看等：windows：

進(jìn)程排查：

進(jìn)程cpu情況排查：

windows進(jìn)程檢測(cè)工具：PCHunter64 進(jìn)程分析藍(lán)色為系統(tǒng)外進(jìn)程，可能木馬等，進(jìn)程信息可能偽裝，網(wǎng)絡(luò)分析： 學(xué)習(xí)地址： 鏈接：https://pan.baidu.com/s/1t0s4LqAmsEufHhyVAy7jlg 提取碼：hsyy Autoruns-啟動(dòng)項(xiàng)目管理工具： 鏈接：https://pan.baidu.com/s/1pdwgvUONzllkXLfW9wAozw 提取碼：hsyy PortScan-C段主機(jī)端口掃描： 鏈接：https://pan.baidu.com/s/1l3v91ncmxMDOValPr8FctQ 提取碼：hsyy windows執(zhí)行列表查看：UserAssistView 學(xué)習(xí)地址：https://www.onlinedown.net/soft/628964.htm 所有執(zhí)行文件的記錄信息，記錄執(zhí)行時(shí)間，去日志記錄查看這個(gè)時(shí)間段前后的文件進(jìn)程執(zhí)行情況，分析攻擊的準(zhǔn)備階段與攻擊階段

0x02 結(jié)合web日志-分析中間件日志-工具分析思路

分析流程：保護(hù)階段（嚴(yán)重?cái)嗑W(wǎng)處理）-分析階段-復(fù)現(xiàn)階段（非必要）-修復(fù)階段-建議階段

目的：分析出攻擊時(shí)間段，攻擊的操作，攻擊后果，安全修復(fù)給出合理解決方案

必備知識(shí)點(diǎn)： 1.熟悉常見(jiàn)的web攻擊技術(shù) 2.熟悉相關(guān)的日志啟用以及存儲(chǔ)查看 3.熟悉日志數(shù)據(jù)分析

準(zhǔn)備工作： 1.收集目標(biāo)服務(wù)器組件信息（大多中間件有日志記錄非常重要） 2.部署相關(guān)的日志分析軟件，平臺(tái)等 3.熟悉安全攻擊的指紋特征（很多攻擊來(lái)源于工具） 4.能夠針對(duì)事件表現(xiàn)第一時(shí)間觸發(fā)思路

排查分類思路： 類型1：有明確的入侵對(duì)象時(shí)間信息等 有明確的對(duì)象時(shí)間信息，可以大大的提高分析效率，通過(guò)以下總結(jié)的思路排查 思路：基于時(shí)間，居于入侵的操作，基于設(shè)備指紋，基于其他第三方等 類型2：無(wú)明確的入侵對(duì)象時(shí)間信息 沒(méi)有具體的信息需要全面摸查，通常以下總結(jié)的思路排查 1.web漏洞-檢查源碼類型以及漏洞情況 2.中間件漏洞-檢查對(duì)應(yīng)的版本 以及漏洞情況 3.第三方組件應(yīng)用漏洞-檢查使用存在最新的漏洞情況 4.操作系統(tǒng)層面導(dǎo)致漏洞-檢查系統(tǒng)版本補(bǔ)丁漏洞情況 5.其他安全問(wèn)題（弱口令，后門(mén)等），使用相關(guān)的shell，弱口令檢查工具掃描 常見(jiàn)分析方法： 設(shè)備指紋庫(kù)搜索，日志時(shí)間分析，后門(mén)追查，漏洞檢查分析等 案例1：win+iis+mysql分析 重點(diǎn)分析iis的日志記錄，不太清楚中間件的日志記錄自行百度查詢?nèi)罩居涗浀奈恢茫?下面以iis本地搭建的虛擬環(huán)境日志分析 打開(kāi)IIS日志位置：

iis日志的策略情況（根據(jù)網(wǎng)站管理員的配置為主）：

日志分析：

1.日志全局搜索攻擊者IP地址，判斷出入侵準(zhǔn)備時(shí)間與入侵的整個(gè)時(shí)間段 根據(jù)獲取到的IP地址查詢地址物理位置，初步判斷是否為攻擊者真實(shí)IP，或者是代理IP 查詢方式有很多這里舉例 IP位置查詢//chaipip.com/

這種就可能為代理IP，或者是境外服務(wù)器

2.通過(guò)獲取到的可以后門(mén)文件，進(jìn)行定位查詢，分析出IP入侵的時(shí)間段，與可以后門(mén)文件的操作時(shí)間 3.搜索設(shè)備指紋，例如疑似被注入的SQLmap，或者注入的敏感字段select等，將入侵者的操作時(shí)間段判斷出來(lái) 案例2：linux+寶塔+tp5寶塔日志獲取：登錄寶塔面板-文件-根目錄-www-server-nginx-conf配置文件查看日志位置，獲取到www-wwwlogs信息 思路： 1.分析日志與上面一樣，注意目錄掃描信息（多種模擬請(qǐng)求就可能為字典目錄爆破） 2.寶塔自帶目錄查殺-安全中查看結(jié)果 3.請(qǐng)求文件jpg資源因?yàn)樵L問(wèn)一個(gè)主頁(yè)自動(dòng)加載的（避免誤判） 4.日志全局搜索IP 分析這個(gè)IP操作的整個(gè)時(shí)間分析 4.漏洞執(zhí)行代碼的特征payload搜索 寶塔自帶的目錄查殺：

請(qǐng)求文件jpg資源因?yàn)樵L問(wèn)一個(gè)主頁(yè)自動(dòng)加載的（避免誤判）

工具審計(jì)日志使用： 1.360星圖，能夠分析iis/apache/nginx日志信息 官方下載地址：https://wangzhan.qianxin.com/activity/xingtu 目前官方已經(jīng)停止維護(hù)。 360星圖網(wǎng)盤(pán)下載鏈接：https://pan.baidu.com/s/1n_ms9yRGKCxn8SVG6aFnzg 提取碼：hsyy 使用：將日志放到指定目錄下，或者修改配置文件指定日志的位置 運(yùn)行bat即可，隨后查看目錄下分析報(bào)告 缺點(diǎn)：支持的中間件日志太少了 分析報(bào)告：

分析結(jié)果，著重點(diǎn)出發(fā)入手分析！

2.十大shell查殺工具：https://www.cnblogs.com/xiaozi/p/13198071.html 推薦使用：藍(lán)隊(duì)必備日志分析：ELK，Splunk 總結(jié)：人工+工具分析，大的用工具，小的可以人工分析 遇到不同環(huán)境，搜索中間件日志或者對(duì)應(yīng)網(wǎng)站的日志位置 推薦工具：360星圖，藍(lán)隊(duì)必備日志分析：ELK，Splunk

0x03 操作系統(tǒng)日志分析思路

操作層面常見(jiàn)危害：暴力破解，漏洞利用，流量攻擊，木馬控制（shell，后門(mén)等），病毒感染（蠕蟲(chóng)，勒索，等） 分析思路：計(jì)算機(jī)賬戶安全，端口，進(jìn)程，網(wǎng)絡(luò)服務(wù)情況，自啟動(dòng)情況，任務(wù)進(jìn)程，文件安全等

了解常見(jiàn)的windows/linux的日志日志位置： Windows：

Linux:/var/log下

常見(jiàn)的日志記錄類型 /var/log/message ? 系統(tǒng)啟動(dòng)后的信息和錯(cuò)誤日志，是Red Hat Linux中最常用的日志之一 /var/log/secure ? 與安全相關(guān)的日志信息 /var/log/maillog ? 與郵件相關(guān)的日志信息 /var/log/cron ? 與定時(shí)任務(wù)相關(guān)的日志信息 /var/log/spooler ? 與UUCP和news設(shè)備相關(guān)的日志信息 /var/log/boot.log ? 守護(hù)進(jìn)程啟動(dòng)和停止相關(guān)的日志消息

案例1：系統(tǒng)暴力破解入侵分析windows分析日志： 軟件使用：Windows-LogFusion 載入查看： 事件歸類，事件 ID，事件狀態(tài)等，參考百度資料 使用pchuner檢測(cè)到文件后使用usersss（文件執(zhí)行記錄）檢測(cè)位置

Linux分析日志：

使用grep命令篩選： 1、統(tǒng)計(jì)了下日志，確認(rèn)服務(wù)器遭受多少次暴力破解 grep -o “Failed password” /var/log/secure|uniq -c 2、輸出登錄爆破的第一行和最后一行，確認(rèn)爆破時(shí)間范圍： grep “Failed password” /var/log/secure|head -1 grep “Failed password” /var/log/secure|tail -1 3、進(jìn)一步定位有哪些 IP 在爆破？ grep “Failed password” /var/log/secure|grep -E -o “（25［0-5］|2［0-4］［0-9］|［01］？［0-9］［0-9］？）。（25［0-5］|2［0- 4］［0-9］|［01］？［0-9］［0-9］？）。（25［0-5］|2［0-4］［0-9］|［01］？［0-9］［0-9］？）。（25［0-5］|2［0-4］［0-9］|［01］？［0-9］［0- 9］？）”|uniq -c | sort -nr 4、爆破用戶名字典都有哪些？ grep “Failed password” /var/log/secure|perl -e ‘while（$_=《》）{ /for（.*？） from/; print “$1 ”;}’|uniq -c|sort - nr 5、登錄成功的日期、用戶名、IP： grep “Accepted ” /var/log/secure | awk ‘{print $1，$2，$3，$9，$11}’ grep “Accepted ” /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more查看你進(jìn)程id，以及端口情況：

Linux自動(dòng)化腳本檢測(cè)：

https://github.com/grayddq/GScan/

windows日志自動(dòng)審計(jì)工具：LogonTracer

學(xué)習(xí)使用地址：https://github.com/JPCERTCC/LogonTracer/wiki/**安裝步驟筆記：** 1.下載并解壓 neo4j：tar -zvxf neo4j-community-4.2.1-unix.tar 2.安裝 java11 環(huán)境：sudo yum install java-11-openjdk -y 3.修改 neo4j 配置保證外部訪問(wèn)： dbms.connector.bolt.listen_address=0.0.0.0:7687 dbms.connector.http.listen_address=0.0.0.0:7474 。/bin/neo4j console & 4.下載 LogonTracer 并安裝庫(kù)： git clone https://github.com/JPCERTCC/LogonTracer.git pip3 install -r requirements.txt 5.啟動(dòng) LogonTracer 并導(dǎo)入日志文件分析 python3 logontracer.py -r -o ［PORT］ -u ［USERNAME］ -p ［PASSWORD］ -s ［IP 地址］ python3 logontracer.py -r -o 8080 -u neo4j -p xiaodi -s 47.98.99.126 python3 logontracer.py -e ［EVTX 文件］ -z ［時(shí)區(qū)］ -u ［用戶名］ -p ［密碼］ -s ［IP 地址］ python3 logontracer.py -e Security.evtx -z -13 -u neo4j -p xiaodi -s 127.0.0.1 6.刷新訪問(wèn) LogonTracer-web_gui 查看分析結(jié)果

病毒危害防范解毒相關(guān)資料：

詳細(xì)說(shuō)明中毒表現(xiàn)及恢復(fù)指南

https://lesuobingdu.360.cn/

https://www.nomoreransom.org/zh/index.html #病毒分析補(bǔ)充資料：

PCHunter：http://www.xuetr.com

火絨劍：https://www.huorong.cn

Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

processhacker：https://processhacker.sourceforge.io/downloads.php

autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL：https://www.bleepingcomputer.com/download/otl/

SysInspector：http://download.eset.com.cn/download/detail/？product=sysinspector

#病毒查殺

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe

大蜘蛛：http://free.drweb.ru/download+cureit+free

火絨安全軟件：https://www.huorong.cn

360 殺毒：http://sd.360.cn/download_center.html

#病毒動(dòng)態(tài)

CVERC-國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心：http://www.cverc.org.cn

微步在線威脅情報(bào)社區(qū)：https://x.threatbook.cn

火絨安全論壇：http://bbs.huorong.cn/forum-59-1.html

愛(ài)毒霸社區(qū)：http://bbs.duba.net

騰訊電腦管家：http://bbs.guanjia.qq.com/forum-2-1.html #在線病毒掃描網(wǎng)站

http://www.virscan.org //多引擎在線病毒掃描網(wǎng)

https://habo.qq.com //騰訊哈勃分析系統(tǒng)

https://virusscan.jotti.org //Jotti 惡意軟件掃描系統(tǒng)

http://www.scanvir.com //計(jì)算機(jī)病毒、手機(jī)病毒、可疑文件分析

0x04 應(yīng)急響應(yīng)-數(shù)據(jù)庫(kù)-應(yīng)急響應(yīng)工具包

案例1：數(shù)據(jù)庫(kù) Mysql日志分析

常見(jiàn)的數(shù)據(jù)庫(kù)攻擊包括弱口令、SQL 注入、提升權(quán)限、竊取備份等。對(duì)數(shù)據(jù)庫(kù)日志進(jìn)行分析，可以

發(fā)現(xiàn)攻擊行為，進(jìn)一步還原攻擊場(chǎng)景及追溯攻擊源。 1.mysql的啟用日志，日志記錄位置知識(shí)點(diǎn)：

Mysql：?jiǎn)⒂茫涗洠治觯ǚ治?SQL 注入及口令登錄爆破等）

1.show variables like ‘%general%’; 查看日志開(kāi)啟情況

2.mysql.ini添加配置項(xiàng)開(kāi)啟日志：log=D:phpstudy_proExtensionsMySQL5.7.26datamysql_log.txt

3.SET GLOBAL general_log = ‘On’; #開(kāi)啟日志

mssql日志：

模擬被爆破的日志記錄：

記錄操縱語(yǔ)句配置：

案例2：當(dāng)日志被刪除后的思路

1.日志被刪除或沒(méi)價(jià)值信息

2.沒(méi)有思路進(jìn)行分析可以采用模擬滲透

1.windows，linux 系統(tǒng)漏洞自查：

WindowsVulnScan，linux-exploit-suggester

D:MyprojectvenvScriptspython.exe cve-check.py -C -f KB.json

。/linux-exploit-suggester.sh

2.windows，linux 服務(wù)漏洞自查：

windows：Get-WmiObject -class Win32_Product

linux：LinEnum.sh

searchsploit weblogic

利用前期信息收集配合 searchsploit 進(jìn)行應(yīng)用服務(wù)協(xié)議等漏洞檢索

3.windows，linux 協(xié)議弱口令自查-工具探針或人工獲取判斷-snetcraker 應(yīng)急響應(yīng)工具包：自動(dòng)化 ir-rescue 應(yīng)急響應(yīng)工具箱

方便將經(jīng)常使用的工具一次性下載使用：

學(xué)習(xí)地址：https://github.com/diogo-fernan/ir-rescue

分析腳本工具原理，嘗試自己進(jìn)行編寫(xiě)修改工具地址，成為自己的工具箱殺器

應(yīng)急響應(yīng)的大體分析基礎(chǔ)知識(shí)總結(jié)完畢，實(shí)際情況多結(jié)合實(shí)例分析 文章肝了四天，總結(jié)不易，希望師傅們路過(guò)點(diǎn)個(gè)贊，多多指點(diǎn)指點(diǎn)/抱拳

審核編輯 ：李倩