安全应急响应
响应流程
- 事件发生
运维监控人员、客服审核人员等发现问题,进行安全告警 - 事件确认及分类
收集事件信息、分析网络活动相关程序,日志和数据,判断事件严重性,评估问题的严重等级,是否向上汇报等 - 事件响应
各部门合作处理解决问题,避免存在漏洞未修补、后门未清除等残留问题 - 事件关闭
处理完事件后需要关闭事件,并完成安全应急处理分析报告
分析方向
文件分析
- find / -mmin -2 | grep etc显示最近2分钟/etc目录下修改过的文件
- ls --full-time passwd 查看passwd文件修改日期
- md5sum passwd 查看passwd文件hash值
日志分析
- cat /var/log/secure 查看日志secure
- 我的电脑->管理->事件查看器->Windows日志
- Tomcat、Apache、Nginx等应用日志
进程分析
- top 查看CPU内存信息
- netstat -ntplu 查看正在监听的端口
- netstat -ano查看进程端口号和ip地址
- netstat -an | more 翻页查看网络连接
- ps -ef 查看进程路径是否合法
- systemctl list-unit-files 查看开机启动服务
- systemctl status 查看服务状态
- crontab -l 查看正在运行的计划
身份信息分析
- 本地以及域账号用户
- 异常的身份验证
网络分析
- 网络设备配置、DNS配置、路由配置
- 监听端口和相关服务
- 最近建立的网络连接
- RDP/VPN/SSH等会话
配置分析
- getenforce 查看Linux SE状态
- iptables -L 查看iptables配置
- echo $PATH 查看环境变量
监控查看
zabbix等监控查看告警
Windows木马排查
排查反向
- 查看异常端口和ip通信
- 查看任务管理器详细信息定位异常文件,使用杀毒软件检查
入侵防御
- 开启防火墙
- 安装正版杀毒软件
服务器入侵排查
排查方向
- 查看修改时间
- 查看日志,分析登录时间和ip
入侵防御
- 服务器加强密码
- 22端口不对公网直接开放
- 使用堡垒机及指定ip登录
