应急响应笔记1-CFANZ编程社区

应急响应

windows应急响应：

日志查看(删除日志本身也是一个事件没办法彻底删除)

eventvwr.msc
C:\Windows\System32\winevt\Logs
C:\Windows\System32\WDI\LogFiles
C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}

检查账户是否异常

文件分析：

1.临时目录排查

2.浏览器相关文件

3,最近打开文件

4.文件修改时间(考虑到这个自己也可以修改时间)

5.hosts文件

网络行为排查：

1.重要的辅助站点：

2.（1）网络连接排查

2.（2）流量分析（后续会详细补充）

3.漏洞与补丁信息

可疑进程分析：

启动项排查：

msconfig

计划任务 C:\Windows\System32\Tasks

注册表的自动启动

    计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

    计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

    计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

    计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

特定事件痕迹：

linux应急响应：

ifconfig
top -c
lsof -i -PnR     查看网络通信情况
ps aux | grep [PID]      查看进程信息
lsof -p [PID]      查看进程打开的文件
md5sum [文件名]     计算文件的md5值

网络行为分析

who   //查看当前用户的登录信息
uname -a   //查看系统信息
netstat -ano   //所有网络连接
netstat -utnpl   //查看带端口情况的
arp -a    //查看arp表


iptables    //linux的防火墙
iptables -A OUTPUT -d 123.123.123.123 -j DROP    //屏蔽出方向相应ip的流量
iptables -I INPUT -p tcp --dport 443 -m string --string "xxx.com" --algo bm -j DROP
//阻止到某个域名的某个端口的内容

进程检查

ps aux
ps -ef
top -c
lsof -p [pid]
lsof -i
lsof -c   //看进程以及其关联的文件

启动项排查

/etc/init.d/
/etc/xinetd.d

查看rc.local文件是否被篡改

/etc/init.d/
/etc/rc.d/rc[0-6].d
/etc/profile.d/

计划任务

/etc/crontab
/var/spool/cron/[用户名]
crontab -l    //列出所有的启动项
crontab -r  //删除启动项
crontab -e  //编辑启动项

重点目录

/etc/cron.d
/etc/cron.daily
/etc/cron.hourly
/etc/cron.monthly
/etc/cron.weekly

服务排查

服务自启动

文件检查

文件完整性检查：

rpm -Va 查看所有软件包的变化情况

敏感目录：

/tmp
/etc/init.d
/usr/bin
/usr/sbin
/root
/boot
/bin
/sbin
/etc/passwd
/etc/shadow

ls -alt  按时间排序
find / *.py -perm 4777   //查找所有是777权限的文件
ls -al /tmp | grep "Feb 10"   //

帐号检查

w    //查看某一时刻用户行为

cat /etc/passwd
cat /etc/shadow

less /etc/passwd


usermod -L [user]    //删除用户  
userdel [user]    //删除用户
userdel -r [user]    //删除用户


删除用户之后，/home目录下的用户名文件夹也删了

last 查看成功的登录 /var/log/wtmp
lastb 登录失败情况/var/log/btmp
lastlog 查看上一次用户登录情况 /var/log/lastlog


last -x reboot 查看重启记录
last -x shutdown 查看关机记录

历史命令检查

.bash_history
history 查看历史命令
history -c  清空历史命令

其他敏感检查

cat /etc/hosts

处置命令：

chattr +i [目标文件]   //先把相应的文件锁起来
chmod 000 [目标文件]    //直接把相应的文件权限关闭

日志位置：

/var/log/

日志配置文件

/etc/rsyslog.conf