應急響應的目的:保護階段、分析、復現、修復、建議
分析出攻擊時間,攻擊操作,攻擊結果,安全修復等給出合理方案;
知識點
- 熟悉常見web安全攻擊技術
- 熟悉日誌啟用及儲存檢視
- 熟悉日誌中記錄資料庫分類及分析
準備工作
1、收集伺服器各類資訊
2、部署相關分析軟體平臺(360星圖、log paress)
3、相關安全滲透工具指紋庫
4、異常表現第一時間觸發思路
入侵檢查
有明確資訊網路入侵
基於時間、基於操作、基於指紋等
無明確資訊網路入侵
1、WEB漏洞-檢查原始碼類別及漏洞情況
2、中介軟體漏洞-檢查對於版本及漏洞情況
3、第三方應用-檢查是否存在漏洞利用
4、作業系統層面漏洞-檢查是否存在系統漏洞
5、其他安全問題(口令、後門等)-檢查相關應用口令及後門掃描(兩款查殺軟體)
分析方法
指紋庫搜尋,日誌時間分析,後門追查分析,漏洞檢查分析等;
模擬還原漏洞攻擊
還原exp,攻擊路徑,攻擊方方法;
檢視分析多個日誌檔案中的關鍵字
1、使用工具Fileseek;進行關鍵ip、後門檔名搜尋、特徵檔案(定位時間、ip);
2、透過還原exp中payload關鍵字檢索日誌;