我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:双彩网 > 置文件属性 >

干货 黑客入侵?这里有详细的应急排查手册!

归档日期:06-06       文本归类:置文件属性      文章编辑:爱尚语录

  针对可疑文件可以使用stat进行创建修改时间、访问时间的详细查看,若修改时间距离事件日期接近,有 线性关联,说明可能被篡改或者其他。

  在文件分析过程中,手工排查频率较高的命令是findgrepls核心目的是为了关联推理出可疑文件。

  使用netstat网络连接命令,分析可疑端口、可疑IP、可疑PID及程序进程

  PS:如果日期数字10,中间需要两个空格。比如1月1日,grep“Jan1”

  查看分析history(cat/root/.bash_history),曾经的命令操作痕迹,以便进一步排查溯源。运气好有可能通过记录关联到如下信息:

  PS:UID为0的帐号也不一定都是可疑帐号,Freebsd默认存在toor帐号,且uid为0.(toor在BSD官网解释为root替代帐号,属于可信帐号)

  a)通过crontabl–l查看当前的任务计划有哪些,是否有后门木马程序启动相关信息;

  c)根据关键字匹配命令内是否包含信息(如IP地址、时间信息、远控信息、木马特征、代号名称)

  a)Redis(6379)未授权恶意入侵,即可直接通过redis到目标主机导入公钥。

  系统完整性也可以通过rpm自带的-Va来校验检查所有的rpm软件包,有哪些被篡改了,防止rpm也被替换,上传一个安全干净稳定版本rpm二进制到服务器上进行检查

  如果一切均校验正常将不会产生任何输出。如果有不一致的地方,就会显示出来。输出格式是8位长字符串,c用以指配置文件,接着是文件名.8位字符的每一个用以表示文件与RPM数据库中一种属性的比较结果。.(点)表示测试通过。.下面的字符表示对RPM软件包进行的某种测试失败:

  5MD5校验码S文件尺寸L符号连接T文件修改日期D设备U用户G用户组M模式e(包括权限和文件类型)

  Webshell的排查可以通过文件、流量、日志三种方式进行分析,基于文件的命名特征和内容特征,相对操作性较高,在入侵后应急过程中频率也比较高。

  可根据webshell特征进行命令查找,简单的可使用(当然会存在漏报和误报)

  Github上存在各种版本的webshell查杀脚本,当然都有自己的特点,可使用河马shell查杀(

  假如系统的命令(例如netstatls等)被替换,为了进一步排查,需要下载一新的或者从其他未感染的主机拷贝新的命令。

  发现可疑的文本木马文件,使用文本工具对其内容进行分析,包括回连IP地址、加密方式、关键字(以便扩大整个目录的文件特征提取)等。

  lastlog记录最近几次成功登录的事件和最后一次不成功的登录who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息users用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名把显示相同的次数last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户finger命令用来查找并显示用户信息,系统管理员通过使用该命令可以知道某个时候到底有多少用户在使用这台Linux主机。

  4.查看文件时间,创建时间、修改时间、访问时间。对应linux的ctimemtimeatime,通过对文件右键属性即可看到详细的时间(也可以通过dir/tc1.aspx来查看创建时间),黑客通过菜刀类工具改变的是修改时间。所以如果修改时间在创建时间之前明显是可疑文件。

  6.根据文件夹内文件列表时间进行排序,查找可疑文件。当然也可以搜索指定日期范围的文件及文件件

  7.关键字匹配,通过确定后的入侵时间,以及webshell或js文件的关键字(比如博彩类),可以在IIS日志中进行过滤匹配,比如经常使用:

  可疑进程,隐藏服务、被挂钩函数:红色,然后根据程序右键功能去定位具体的程序和移除功能。根据可疑的进程名等进行互联网信息检索然后统一清除并关联注册表。

  b)怎么入侵的?关联入侵时间轴、漏洞信息c)为什么被入侵?关联行业特性、数据信息、漏洞信息

  Autopsy是sleuthkit提供的平台工具,Windows和Linux磁盘映像静态分析、恢复被删文件、时间线分析,网络浏览历史,关键字搜索和邮件分析等功能

  新型业务安全中安全事件,例如撞库、薅羊毛、支付、逻辑校验等敏感环节,未在本文体现,所以后续有必要针对业务侧的应急排查方法归纳。

本文链接:http://incardex.com/zhiwenjianshuxing/15.html