應急響應之入侵排查
VSole2022-07-19 17:10:59
一、前言
常見的應急響應事件分類:
Web入侵:網頁掛馬、主頁篡改、Webshell 系統入侵:病毒木馬、勒索軟件、遠控后門 網絡攻擊:DDOS攻擊、DNS劫持、ARP欺騙
二、Windows入侵排查
檢查系統賬號安全
查看服務器是否有弱口令,遠程管理端口3389,22等端口是否對公網開放
檢查方法:問服務器管理員,簡單直接,要么簡單掃描測試一下也可以
查看服務器是否存在可疑賬號、新增賬號
Win+R->lusrmgr.msc
查看服務器是否存在隱藏賬號、克隆賬號
使用D盾或者其他小工具都可以查看隱藏賬號
結合日志,查看管理員登錄時間、用戶名是否存在異常
Win+R->eventvwr.msc 導出Windows的安全日志,利用LogParser進行分析
檢查異常端口、進程
檢查端口連接情況,是否有遠程連接、可疑連接
netstat -ano tasklist | find "PID"
進程
使用D盾,查看可以進程,查看有沒有簽名信息,或者可以使用Process Explorer等工具查看
檢查啟動項、計劃任務、服務
檢查服務器是否有異常的啟動項
火絨等安全軟件查看 Win+R->regedit,打開注冊表,查看開機啟動項是否正常,特別注意一下三個注冊表項 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
檢查計劃任務
控制面板->計劃任務 Win+R->cmd->schtasks/at
服務自啟動
Win+R->services.msc
檢查系統相關信息
查看系統版本以及補丁信息
Win+R->cmd->systeminfo
查看可以目錄及文件
查看用戶目錄,新建賬號會生成一個用戶目錄 Win+R->cmd->%UserProfile%\Recent:查看最近打開的文件進行分析 文件夾/文件可以根據時間排序,可以看看最近有沒有什么可疑的文件夾/文件
自動化查殺
病毒查殺
下載安全軟件,更新病毒庫,進行全盤掃描
Webshell查殺
選擇具體站點路徑進行webshell查殺,建議最少選擇兩款查殺工具,可以互相補充規則庫的不足
日志分析
系統日志
前提:開啟審核策略 Win+R->eventvwr.msc->導出安全日志->LogParser進行分析
Web訪問日志
找到中間件的web日志,打包到本地進行分析 Linux下可以使用Shell命令組合查詢分析
三、Linux入侵排查
賬號安全
必看文件
/etc/passwd /etc/shadow
必會命令:who,w,uptime,usermod,userdel
入侵排查
查詢特權用戶:awk -F: ‘$3==0{print $1}’ /etc/passwd
查詢可以遠程登錄的賬號:awk ‘/\$1|\$6/{print $1}’ /etc/shadow
查詢具有sudo權限的賬號:more /etc/sudoers | grep -v “^#\|^$” grep “ALL=(ALL)”
歷史命令
必會命令:history
入侵排查:cat .bash_history >>history.txt
檢查異常端口
netstat -antlp
檢查異常進程
ps aux
檢查開機啟動項
more /etc/rc.local /etc/rc.d/rc[0-6].d ls -l /etc/rc.d/rc3.d/
檢查定時任務
檢查以下目錄下是否有可疑文件
/var/spool/cron/* /etc/crontab /etc/cron.d/* /etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/* /etc/cron.weekly/ /etc/anacrontab /var/spool/anacron/* /etc/cron.daily/*
檢查服務
chkconfig 修改/etc/re.d/rc.local文件,加入/etc/init.d/httpd start 使用nesysv命令管理自啟動
檢查異常文件
查看敏感目錄,如tmp目錄下的文件,同時注意隱藏文件夾,以”..”為名的文件夾具有隱藏屬性
檢查系統日志
日志默認存放位置:/var/log
日志分析技巧
1、定位有多少IP在爆破主機的root帳號:
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
定位有哪些IP在爆破:
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
爆破用戶名字典是什么?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
2、登錄成功的IP有哪些:
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
登錄成功的日期、用戶名、IP:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
3、增加一個用戶kali日志:
Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001
Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali
, shell=/bin/bash
Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali
#grep "useradd" /var/log/secure
4、刪除用戶kali日志:
Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'
# grep "userdel" /var/log/secure
5、su切換用戶:
Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)
sudo授權執行:
sudo -l
Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now
四、常見Webshell查殺工具
D盾:
http://www.d99net.net
百度WEBDIR+
https://scanner.baidu.com
河馬
https://www.shellpub.com
Web Shell Detector
http://www.shelldetector.com
CloudWalker(牧云)
https://webshellchop.chaitin.cn
Sangfor WebShellKill
http://edr.sangfor.com.cn/backdoor_detection.html(已停止訪問)
深度學習模型檢測PHP Webshell
http://webshell.cdxy.me
PHP Malware Finder
https://github.com/jvoisin/php-malware-finder
findWebshell
https://github.com/he1m4n6a/findWebshell
在線Webshell查殺工具
http://tools.bugscaner.com/killwebshell
五、如何發現隱藏的Webshell后門
那么多代碼里不可能我們一點點去找后門,另外,即使最好的Webshell查殺軟件也不可能完全檢測出來所有的后門,這個時候我們可以通過檢測文件的完整性來尋找代碼中隱藏的后門。
文件MD5校驗
絕大部分軟件,我們下載時都會有MD5文件,這個文件就是軟件開發者通過md5算法計算出該如軟件的“特征值”,下載下來后,我們可以對比md5的值,如果一樣則表明這個軟件是安全的,如果不一樣則反之。
Linux中有一個命令:md5sum可以查看文件的md5值,同理,Windows也有命令或者工具可以查看文件的md5值
Diff命令
Linux中的命令,可以查看兩個文本文件的差異
文件對比工具
Beyond Compare WinMerge
六、勒索病毒
勒索病毒搜索引擎
360:http://lesuobingdu.# 騰訊:https://guanjia.qq.com/pr/ls 啟明:https://lesuo.venuseye.com.cn 奇安信:https://lesuobingdu.qianxin.com 深信服:https://edr.sangfor.com.cn/#/information/ransom_search
勒索軟件解密工具集
騰訊哈勃:https://habo.qq.com/tool 金山毒霸:http://www.duba.net/dbt/wannacry.html 火絨:http://bbs.huorong.cn/forum-55-1.html 瑞星:http://it.rising.com.cn/fanglesuo/index.html Nomoreransom:https://www.nomoreransom.org/zh/index.html MalwareHunterTeam:https://id-ransomware.malwarehunterteam.com 卡巴斯基:https://noransom.kaspersky.com Avast:https://www.avast.com/zh-cn/ransomware-decryption-tools Emsisoft:https://www.emsisoft.com/ransomware-decryption-tools/free-download Github勒索病毒解密工具收集匯總:https://github.com/jiansiting/Decryption-Tools
VSole
網絡安全專家