应急响应
windows应急响应:
日志查看(删除日志本身也是一个事件 没办法彻底删除)
eventvwr.msc
C:\Windows\System32\winevt\Logs
C:\Windows\System32\WDI\LogFiles
C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}
检查账户是否异常
文件分析:
1.临时目录排查
2.浏览器相关文件
3,最近打开文件
4.文件修改时间(考虑到这个自己也可以修改时间)
5.hosts文件
网络行为排查:
1.重要的辅助站点:
2.(1)网络连接排查
2.(2)流量分析(后续会详细补充)
3.漏洞与补丁信息
可疑进程分析:
启动项排查:
msconfig
计划任务 C:\Windows\System32\Tasks
注册表的自动启动
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
特定事件痕迹:
linux应急响应:
ifconfig
top -c
lsof -i -PnR 查看网络通信情况
ps aux | grep [PID] 查看进程信息
lsof -p [PID] 查看进程打开的文件
md5sum [文件名] 计算文件的md5值
网络行为分析
who //查看当前用户的登录信息
uname -a //查看系统信息
netstat -ano //所有网络连接
netstat -utnpl //查看带端口情况的
arp -a //查看arp表
iptables //linux的防火墙
iptables -A OUTPUT -d 123.123.123.123 -j DROP //屏蔽出方向相应ip的流量
iptables -I INPUT -p tcp --dport 443 -m string --string "xxx.com" --algo bm -j DROP
//阻止到某个域名的某个端口的内容
进程检查
ps aux
ps -ef
top -c
lsof -p [pid]
lsof -i
lsof -c //看进程以及其关联的文件
启动项排查
/etc/init.d/
/etc/xinetd.d
查看rc.local文件是否被篡改
/etc/init.d/
/etc/rc.d/rc[0-6].d
/etc/profile.d/
计划任务
/etc/crontab
/var/spool/cron/[用户名]
crontab -l //列出所有的启动项
crontab -r //删除启动项
crontab -e //编辑启动项
重点目录
/etc/cron.d
/etc/cron.daily
/etc/cron.hourly
/etc/cron.monthly
/etc/cron.weekly
服务排查
服务自启动
文件检查
文件完整性检查:
rpm -Va 查看所有软件包的变化情况
敏感目录:
/tmp
/etc/init.d
/usr/bin
/usr/sbin
/root
/boot
/bin
/sbin
/etc/passwd
/etc/shadow
ls -alt 按时间排序
find / *.py -perm 4777 //查找所有是777权限的文件
ls -al /tmp | grep "Feb 10" //
帐号检查
w //查看某一时刻用户行为
cat /etc/passwd
cat /etc/shadow
less /etc/passwd
usermod -L [user] //删除用户
userdel [user] //删除用户
userdel -r [user] //删除用户
删除用户之后,/home目录下的用户名文件夹也删了
last 查看成功的登录 /var/log/wtmp
lastb 登录失败情况/var/log/btmp
lastlog 查看上一次用户登录情况 /var/log/lastlog
last -x reboot 查看重启记录
last -x shutdown 查看关机记录
历史命令检查
.bash_history
history 查看历史命令
history -c 清空历史命令
其他敏感检查
cat /etc/hosts
处置命令:
chattr +i [目标文件] //先把相应的文件锁起来
chmod 000 [目标文件] //直接把相应的文件权限关闭
日志位置:
/var/log/
日志配置文件
/etc/rsyslog.conf