溯源目的
1.判断这次应急是否是被成功入侵的安全事件
2.找到攻击者的第一入口,提取样本
3.帮助客户梳理攻击者的攻击路线,提供修复方案
常见的应急响应分类
日志:网站日志,系统日志
信息收集:子域名扫描,端口扫描,目录扫描
参数请求:GET POST 登录注册访问等等请求方式
getshell:上传的shell文件,文件上传请求,以及执行的各种命令
提权:提权是上传的脚本工具,以及执行的命令
内网:上传的工具以及执行的命令和操作行为
溯源:
1.分析服务器:
开放网络端口:不同端口下的脆弱点挨个排除,爆破,弱口令,漏洞等
2.web服务器:
分析web服务的功能top漏洞利用脆弱点是否被利用,分析网站数据库是否可外联写入以及账号权限,分析网站日志以及容器等
Windows入侵排查思路
1.查看服务器是否存在弱口令,远程管理端口是否对外开放
2. 查看服务器是否存在可疑账号、新增账号.( lusrmgr.msc)net user,删除异常账号
3.查看服务器是否存在隐藏账号、克隆账号。
4.结合日志,查看管理员登录时间、用户名是否存在异常。
eventvwr.msc时间处理器查看日志处理可疑事件
5.检查异常端口,进程可疑连接
1. netstat -ano 查看目前的网络连接,定位可疑连接
2. tasklist | findstr “PID”定位进程
6.进程
msinfo32,依次点击“软件环境→正在运行任务
7.查看计划任务
单击【开始】>【运行】;输入 cmd,然后输入at,检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接。
8.服务自启动
方法:单击【开始】>【运行】,输入services.msc,注意服务状态和启动类型,检查是否有异常服务。
9.查找可疑目录及文件
C:\users 查看用户目录,新建账号会在这个目录生成一个用户目录查看是否有新建用户目录。
单击【开始】>【运行】,输入%UserProfile%\Recent,分析最近打开分析可疑文件。
在服务器各个目录,可根据文件夹内文件列表时间进行排序,查找可疑文件。
回收站、浏览器下载目录、浏览器历史记录