應(yīng)急響應(yīng)包括組織為應(yīng)對突發(fā)/重大信息安全事件的發(fā)生做準(zhǔn)備和事件發(fā)生后采取的措施，是信息安全從業(yè)人員的常規(guī)工作之一。

應(yīng)急響應(yīng)并非僅僅是在系統(tǒng)被黑之后做一系列的補(bǔ)救措施，而是需要在平時就進(jìn)行被黑的準(zhǔn)備和避免被黑。

但實(shí)際上都是當(dāng)出現(xiàn)問題后，外部或內(nèi)部的應(yīng)急小組才會介入。

但從個人實(shí)際經(jīng)驗考慮，在整個過程中不要被客戶或現(xiàn)場的運(yùn)維人員誤導(dǎo)。而且操作前需先征得客戶許可。因為實(shí)際的應(yīng)急情況會比較復(fù)雜，因此需根據(jù)實(shí)際情況進(jìn)行靈活處置。

下面說一下以前偶爾給內(nèi)部員工培訓(xùn)時，用到的一些資料

今天只講應(yīng)急響應(yīng)的基本流程

1.了解情況

1. 發(fā)生時間：詢問客戶發(fā)現(xiàn)異常事件的具體時間，后續(xù)的操作要基于此時間點(diǎn)進(jìn)行追蹤分析。
2. 受影響系統(tǒng)類型：詢問具體的操作系統(tǒng)類型及相關(guān)情況，以便后續(xù)的應(yīng)急處置。
1. windows/linux
2. 財務(wù)系統(tǒng)/OA系統(tǒng)/官網(wǎng)，系統(tǒng)重要性，是否可關(guān)停
3. 是否有弱口令，遠(yuǎn)程管理端口是否開放
4. 都開放了什么端口，有什么服務(wù)，服務(wù)是否存在風(fēng)險性
5. 必要的話現(xiàn)場檢測，不要完全相信聽來的東西
3. 異常情況：
1. 文件被加密
2. 設(shè)備無法正常啟動
3. 勒索信息展示
4. CPU利用率過高
5. 網(wǎng)頁掛馬/黑鏈
6. 對外發(fā)送異常請求
7. 對外發(fā)送垃圾短信
8. 等非正常的情況
4. 已有的處置措施：
1. 之前是否存在此類問題
2. 是否在出現(xiàn)問題后配置了新的策略
3. 是否已有第三方已進(jìn)行了應(yīng)急處理，處理結(jié)果是什么
4. 是否有其他處置措施
5. 系統(tǒng)架構(gòu)/網(wǎng)絡(luò)拓?fù)洌菏欠衲芴峁┚W(wǎng)絡(luò)拓?fù)鋱D
6. 能否提供以下日志
1. 服務(wù)器日志
2. 應(yīng)用日志，重點(diǎn)web日志
3. 數(shù)據(jù)庫日志
7. 已有的安全設(shè)備
1. 終端殺軟
2. 防火墻
3. WAF
4. 流量分析設(shè)備
8. 基本的應(yīng)急處置方案
1. 臨時處置方案
2. 勒索病毒處置方案
3. 挖礦程序處置預(yù)案
4. 網(wǎng)頁掛馬處置預(yù)案
5. DDOS處置預(yù)案
6. 內(nèi)部數(shù)據(jù)泄露處置預(yù)案
7. 其他處置預(yù)案
9. 應(yīng)急報表：
1. 包含下述應(yīng)急方法
2. 端口開放情況，及各個端口應(yīng)用分析，處置建議

2. 遏制傳播風(fēng)險

• 禁止被感染主機(jī)使用U盤，移動硬盤。如必須使用做好備份
• 禁用所有無線/有線網(wǎng)卡或直接拔網(wǎng)線
• 關(guān)閉相關(guān)端口
• 劃分隔離網(wǎng)絡(luò)區(qū)域
• 封存主機(jī)，相關(guān)數(shù)據(jù)備份
• 被感染主機(jī)應(yīng)用服務(wù)下線
• 被感染主機(jī)部分功能暫停
• 被感染主機(jī)相關(guān)賬號降權(quán)，更改密碼
• 勒索病毒處置 - 核心是止損,這點(diǎn)非常重要
• 通過各類檢查設(shè)備和資產(chǎn)發(fā)現(xiàn)，確定感染面；
• 通過網(wǎng)絡(luò)訪問控制設(shè)備或斷網(wǎng)隔離感染區(qū)域，避免病毒擴(kuò)散；
• 迅速啟動殺毒或備份恢復(fù)措施，恢復(fù)受感染主機(jī)的業(yè)務(wù)，恢復(fù)生產(chǎn)。（這點(diǎn)最重要，因為是保障業(yè)務(wù)的關(guān)鍵動作）
• 啟動或部署監(jiān)測設(shè)備，針對病毒感染進(jìn)行全面監(jiān)測，避免死灰復(fù)燃。
• 在生產(chǎn)得到恢復(fù)并無蔓延之后，收集所有相關(guān)的樣本、日志等，開展技術(shù)分析，并尋找感染源頭，并制定整改計劃。

3.已知高危漏洞排查

• 可與下面的步驟同時進(jìn)行，掃描高危漏洞。但要注意掃描產(chǎn)生的大量日志不要影響漏洞排查

4.系統(tǒng)基本信息

• Windows

1）查看當(dāng)前系統(tǒng)的補(bǔ)丁信息

systeminfo

• Linux

1）列出系統(tǒng)arp表，重點(diǎn)查看網(wǎng)關(guān)mac地址

arp -a

2）文件搜索命令

find / -name ".asp"

• 重點(diǎn)關(guān)注

1）系統(tǒng)內(nèi)是否有非法賬戶

2）系統(tǒng)中是否含有異常服務(wù)程序

3）系統(tǒng)是否存在部分文件被篡改，或發(fā)現(xiàn)有新的文件

4）系統(tǒng)安全日志中的非正常登陸情況

5）網(wǎng)站日志中是否有非授權(quán)地址訪問管理頁面記錄

6）根據(jù)進(jìn)程、連接等信息關(guān)聯(lián)的程序，查看木馬活動信息。

7）假如系統(tǒng)的命令（例如netstat ls 等）被替換，為了進(jìn)一步排查，需要下載一新的或者從其他未感染的主機(jī)拷貝新的命令。

8）發(fā)現(xiàn)可疑可執(zhí)行的木馬文件，不要急于刪除，先打包備份一份。

9）發(fā)現(xiàn)可疑的文本木馬文件，使用文本工具對其內(nèi)容進(jìn)行分析，包括回連IP地址、加密方式、關(guān)鍵字（以便擴(kuò)大整個目錄的文件特征提?。┑取?/p>

5.異常連接排查

• Windows

1）查看目前的網(wǎng)絡(luò)連接，定位可疑的 ESTABLISHED netstat -ano

netstat -ano | findstr ESTABLISH

2）查看端口對應(yīng)的pid

netstat -ano | findstr "port"

netstat -nb顯示在創(chuàng)建每個連接或偵聽端口時涉及的可執(zhí)行程序，需要管理員權(quán)限，這條指令對于查找可疑程序非常有幫助。

6.正在運(yùn)行的異常進(jìn)程排查

• Windows

1）查看異常進(jìn)程 任務(wù)管理器

2）顯示運(yùn)行在本地或遠(yuǎn)程計算機(jī)上的所有進(jìn)程

tasklist | findstr 11223 //根據(jù)netstat定位出的異常進(jìn)程的pid，再通過tasklist命令進(jìn)行進(jìn)程定位

1）根據(jù) wmic process 獲取進(jìn)程的全路徑

wmic process | findstr "xx.exe"

2）查看進(jìn)程的詳細(xì)信息，比如進(jìn)程路徑，進(jìn)程ID，文件創(chuàng)建日期，啟動時間等

"開始->運(yùn)行->msinfo32->軟件環(huán)境 -> 正在運(yùn)行任務(wù)"

1）關(guān)閉某個進(jìn)程

wmic process where processid="2345" delete

• Linux

1）查找進(jìn)程pid

netstat -antlp 先找出可疑進(jìn)程的端口 lsof -i:port 定位可疑進(jìn)程pid

2）通過pid查找文件

linux每個進(jìn)程都有一個對應(yīng)的目錄 cd /proc/pid號 即可進(jìn)入到該進(jìn)程目錄中 ls -ail 結(jié)果中exe對應(yīng)的就是該pid程序的目錄 ls -ail |grep exe

3）查看各進(jìn)程占用的內(nèi)存和cpu

top

4）顯示當(dāng)前進(jìn)程信息

ps

5）實(shí)現(xiàn)某個進(jìn)程的精確查找

ps -ef | grep apache

6）結(jié)束進(jìn)程

kill -9 pid

7）查看進(jìn)程樹

pstree -p

查找異常進(jìn)程是否有父進(jìn)程

8）也可以直接搜索異常進(jìn)程的名程來查找其位置，

find / -name 'xxx'

7.異常賬號排查

• Windows

1）圖形化界面查看當(dāng)前的賬戶和用戶組

lu

2）查看當(dāng)前賬戶情況

net user

3）查看某個賬戶的詳細(xì)信息

net user Guest

4）查看當(dāng)前組的情況

net localgroup administrators

5）查看當(dāng)前系統(tǒng)會話，比如查看是否有人使用遠(yuǎn)程終端登陸服務(wù)器

query user 踢出該用戶 `logoff ID` ID是上面查詢出來的。也可能是用戶名

• Linux

1）查看utmp日志，獲得當(dāng)前系統(tǒng)正在登陸賬戶的信息及地址

w

2）獲得系統(tǒng)前N次的登陸記錄

last | more

3）查看賬號情況

cat /etc/passwd

查找/etc/passwd 文件， /etc/passwd 這個文件是保存著這個 linux 系統(tǒng)所有 用戶的信息，通過查看這個文件，我們就可以嘗試查找有沒有攻擊者所創(chuàng)建的用 戶，或者存在異常的用戶。我們主要關(guān)注的是第 3、4 列的用戶標(biāo)識號和組標(biāo)識 號，和倒數(shù)一二列的用戶主目錄和命令解析程序。一般來說最后一列命令解析程 序如果是設(shè)置為 nologin 的話，那么表示這個用戶是不能登錄的，所以可以結(jié)合 我們上面所說的 bash_history 文件的排查方法。首先在/etc/passwd 中查找命令 解釋程序不是 nologin 的用戶，然后再到這些用戶的用戶主目錄里，找到 bash_history，去查看這個用戶有沒執(zhí)行過惡意命令。

/etc/passwd中一行記錄對應(yīng)著一個用戶，每行記錄又被冒號(:)分隔為7個字段， 其格式和具體含義如下：

用戶名:口令:用戶標(biāo)識號:組標(biāo)識號:注釋性描述:主目錄:登錄 Shell

注意：無密碼只允許本機(jī)登陸，遠(yuǎn)程不允許登陸，某個版本之后好像因為安全問題，passwd文件不再有密碼了

4）查看賬號情況

cat /etc/shadow

root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSg::: 用戶名：加密密碼：密碼最后一次修改日期：兩次密碼的修改時間間隔：密碼有效期：密碼修改到期到的警告天數(shù)：密碼過期之后的寬限天數(shù)：賬號失效時間：保留 這里查賬號感覺好一點(diǎn)，一般系統(tǒng)的賬號都是沒有密碼的，所以找最長的那幾個，那就是有密碼的賬戶，很可能就是被黑客添加的后門賬戶

5）linux非root用戶文件夾所在位置

/home

6）查看所有賬戶最后一次登陸時間

lastlog

7）顯示用戶登陸錯誤的記錄

lastb

檢查暴力破解

8）顯示用戶最近登陸信息

last

數(shù)據(jù)源為

/var/log/wtmp /var/log /var/log/btmp /var/log

9）查看當(dāng)前登陸用戶

who

（tty本地登陸 pts遠(yuǎn)程登錄）

10）查看當(dāng)前時刻用戶行為

w

11）查看登陸多久，多少用戶，負(fù)載

uptime

12）禁用賬戶，賬號無法登陸，/etc/shadow 第二欄為！開頭

usermod -L user

13）刪除user用戶

userdel -r user

14）創(chuàng)建用戶

useradd admin #創(chuàng)建一個用戶，在home目錄下不創(chuàng)建文件夾

passwd admin #修改之前創(chuàng)建的賬號的密碼

adduser admin2 #是一個比較完善的創(chuàng)建用戶的命令，會在home目錄下生成一個admin2的文件夾

15）刪除用戶

userdel admin2 #這樣刪除的話不完全，home目錄下的admin2目錄不會刪除

userdel -rf admin #-r 完全刪除一個賬戶 -f強(qiáng)制刪除

如果遇到賬戶刪除顯示已經(jīng)刪除，但創(chuàng)建同名的用戶提示用戶已存在的情況，嘗試以下方法進(jìn)行刪除.手動刪除passwd、shadow、group里面用戶相關(guān)字段，以及用戶相關(guān)的log和mail，并強(qiáng)制刪除home目錄下用戶的文件夾.

/home /etc/passwd /etc/group /var/spool/mail

8.異常文件分析

• Windows

1）查看文件時間

右鍵查看文件屬性，查看文件時間

2）Recent 是系統(tǒng)文件夾，里面存放著你最近使用的文檔的快捷方式，查看用 戶 recent 相關(guān)文件，通過分析最近打開分析可疑文件

%UserProfile%\Recent

3）通過文件時間屬性來定位可疑文件:根據(jù)文件夾內(nèi)文件列表時間進(jìn)行排序，查找可疑文件。當(dāng)然也可以搜索指 定日期范圍的文件及文件 查看文件時間，創(chuàng)建時間、修改時間、訪問時間，黑客通過菜刀類工具改 變的是修改時間。所以如果修改時間在創(chuàng)建時間之前明顯是可疑文件

• Linux

1）分析文件日期

stat xx.asp

2）返回最近24小時內(nèi)修改過的文件

find ./ -mtime 0 返回的是前48~24小時修改過的文件 find ./ -mtime 1 返回10天內(nèi)修改過的文件，可以把最近幾天的數(shù)據(jù)一天天的加起來 find ./ -mtime 0 -o -mtime 1 -o -mtime 2

查找 24 小時內(nèi)被修改的 php 文件 find ./ -mtime 0 -name "*.php"

3）敏感目錄的文件分析 [類/tmp 目錄，命令目錄/usr/bin /usr/sbin 等], 查看 tmp 目錄下的文件?

ls –alt /tmp/ | head -n 10

這樣是按時間順序查出來的結(jié)果

4）特殊權(quán)限文件查找

find / *.jsp -perm 777

find / -perm 777 |more

find / *.sh -perm 777|grep .sh

5）隱藏的文,以 "."開頭的具有隱藏屬性的文件,當(dāng)前目錄查找

ls -ar |grep "^\."

6）i linux文件不可修改權(quán)限

chattr +I filename 給文件添加不可修改權(quán)限

chattr -I filename 將文件的不可修改權(quán)限去掉

lsattr filename 查看文件是否設(shè)置了相關(guān)權(quán)限

如果設(shè)置了該參數(shù)，則無論任何人想要刪除改文件均需要將此權(quán)限去掉

7）a linux文件不可修改權(quán)限

chattr +a filename 給文件添加只追加權(quán)限

chattr -a filename 將文件的只追加權(quán)限去掉

lsattr filename 查看文件的相關(guān)權(quán)限設(shè)置

這個權(quán)限讓目標(biāo)只能追加，不能刪除，而且不能通過編輯器追加

8）查看ssh相關(guān)目錄有無可疑的公鑰存在

Redis（6379） 未授權(quán)惡意入侵，即可直接通過redis到目標(biāo)主機(jī)導(dǎo)入公鑰

目錄：/etc/ssh ./.ssh/

9.啟動項排查

• Windows

1）查看開機(jī)啟動有無異常文件

msconfig

2）win10開機(jī)啟動文件夾

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp 快捷查找方法,找一個安裝好的程序的快捷方式，右鍵打開文件位置，再進(jìn)入該目錄下的啟動目錄即可。StartUp

3）win7開機(jī)啟動文件夾

C:\Users\rpkr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 查找方式，開始>所有程序>啟動 ,03查找同此方法

4）在注冊表中查看開機(jī)啟動項是否異常

開始->運(yùn)行->regedit，打開注冊表，查看開機(jī)啟動項是否正常，特別注意如下三個注冊表項： HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce 檢查右側(cè)是否有啟動異常的項目,如有請刪除，并建議安裝殺毒軟件進(jìn)行病毒查殺，清除殘留病毒或木馬

• Linux

1）查看開機(jī)啟動項內(nèi)容

ls -alt /etc /etc 是 /etc/rc.d 的軟連接

2）啟動項文件

more /etc /etc[0~6].d ls -l /etc3.d/ ll /etc |grep rc

3）定時任務(wù)-基本使用

1.利用crontab創(chuàng)建計劃任務(wù) crontab -l 列出某個用戶 cron 服務(wù)的詳細(xì)內(nèi)容 2.刪除每個用戶cront任務(wù)（慎重：刪除所有的計劃任務(wù)） crontab -r 3.使用編輯器編輯當(dāng)前的crontab文件 crontab -e 如：*/1 * * * * echo ""hello word"" >> /tm 每分鐘寫入文件 4.利用anacron實(shí)現(xiàn)異步定時任務(wù)調(diào)度 每天運(yùn)行 /home 腳本 vi /etc/anacrontab #daily 10 exam /bin/bash /home 當(dāng)機(jī)器在backup.sh期望被運(yùn)行時是關(guān)機(jī)的，anacron會在機(jī)器開機(jī)十分鐘后運(yùn)行它，而不用再等待7天 ls -al /var/spool/cron/ 查看隱藏的計劃任務(wù) Tips：默認(rèn)編寫的crontab文件會保存在（/var/spool/cron/用戶名 例如：/var/loop/cron/root） 5.查看分析任務(wù)計劃 crontab -u <-l, -r, -e> -u 指定一個用戶 -l 列出某個用戶的任務(wù)計劃 -r 刪除某個用戶的任務(wù) -e 編輯某個用戶的任務(wù)（編輯的是/var/spool/cron下對應(yīng)用戶的cron文件，也可以直接修改/etc/crontab文件）

10.計劃任務(wù)排查(定時任務(wù))

• Windows

1）查看Windows 計劃任務(wù)

或者 【程序】?【附件】?【系統(tǒng)工具】?【任務(wù)計劃程序】

• Linux

1）查看當(dāng)前計劃任務(wù)有哪些

crontab -l

是否有后門木馬程序啟動相關(guān)信息

2）查看分析計劃任務(wù)

crontab -u <-l, -r, -e>

3）查看 etc 目錄任務(wù)計劃相關(guān)文件

ls -al /etc/cron*

cat /etc/crontab

4）此處要注意隱藏的計劃任務(wù)，在linux中以.開頭的文件為隱藏文件，要使用

ls -al來查看

5）定時任務(wù) - 入侵排查

重點(diǎn)關(guān)注以下目錄中是否存在惡意腳本

/var/spool/cron/*

/etc/crontab

/etc*

/etc*

/etc*

/etc*

/etc

/etc/anacrontab

/var/spool/anacron/*

小技巧：more /etc* 查看目錄下所有文件

11.日志排查

• Windows
• 查看防護(hù)設(shè)備的日志

打開日志管理器

even

• 查看暴力破解問題，篩選事件ID，win2008 4625

• Linux

1）查看歷史命令記錄文件

cat /root/.bash_history |more

,每個賬戶對應(yīng)的文件夾下都有這樣一個日志文件，但感覺記錄的不是特別全?？梢灾苯釉趓oot下搜索 .bash_history 這個文件。

2）如有

/var/log/secure

日志，可觀察其進(jìn)行暴力破解溯源

3）ubuntu 建議使用

lastb

和

last

進(jìn)行暴力破解溯源

/var/log/message 系統(tǒng)啟動后的信息和錯誤日志，

/var/log/secure 與安全相關(guān)的日志信息

/var/log/maillog 與郵件相關(guān)的日志信息

/var/log/cron 與定時任務(wù)相關(guān)的日志信息

/var/log/spooler UUCP和news設(shè)備相關(guān)日志信息

/var/log 進(jìn)程啟動和停止相關(guān)的日志消息

4）linux系統(tǒng)日志相關(guān)配置文件為/etc（） 主要找 wget\ssh\scp\tar\zip 添加賬戶修改密碼一類的

• web服務(wù)器

1）無論任何web服務(wù)器，都需要關(guān)注以下的日志

access_log

error_log

acce

error.log

2）apache日志位置

應(yīng)通過配置來判斷。

在中搜索未被注釋的、以指令字CustomLog為起始的行，該行即指定了日志的存儲位置。

搜索可使用文本搜索,也可使用grep進(jìn)行：grep -i CustomLog | grep -v ^#

搜索結(jié)束后會獲得類似如下的搜索結(jié)果：

CustomLog /var/mylogs/acce common

其中 /var/mylogs/acce即為客戶日志的路徑。

若此處未指明日志的完整路徑而只是列舉日志的文件名（如：acce），

則意指該文件存儲與默認(rèn)的日志存儲目錄下（即，/var/log/httpd 或 /var/httpd 目錄）。

3）IIS日志位置

IIS日志默認(rèn)存儲于 %systemroot%\system32\LogFiles\W3SVC目錄中， 日志命名方式為exYYMMDD.log（YYMMDD指：年 月 日）。 但I(xiàn)IS日志路徑也可通過用戶配置來指定，通過WEB站點(diǎn)配置可確認(rèn)其位置： WEB站點(diǎn) — 屬性 — 網(wǎng)站 — W3C擴(kuò)展日志文件格式 — 屬性 — 日志文件目錄

• 數(shù)據(jù)庫

1）mysal - cat my|grep union

12.恢復(fù)階段

• 此階段以客戶為主，僅提供建議

1. webshell/異常文件清除
1. 相關(guān)樣本取樣截圖留存
2. 恢復(fù)網(wǎng)絡(luò)
3. 應(yīng)用功能恢復(fù)
4. 補(bǔ)丁升級
5. 提供安全加固措施，推薦切合的安全產(chǎn)品

13.跟蹤總結(jié)

1. 分析事件原因
1. 攻擊來源，IP
2. 攻擊行為分析，弱口令、可以導(dǎo)致命令執(zhí)行的漏洞等
2. 輸出應(yīng)急報告
3. 事后觀察
4. 提供加固建議