windows入侵排查
應急事件分類:
web入侵:網頁掛馬、主頁篡改、webshell
系統入侵:病毒木馬、勒索軟體、遠控後門
網路攻擊:DDos、DNS劫持、ARP欺騙
一、系統賬號安全
1、是否有弱口令、遠端登入埠是否公網開放(3389、22、21);
諮詢管理員
2、可疑賬戶、新增賬戶、隱藏賬戶
lusrmgr.msc/計算機管理-本地使用者和組,重點看管理員組Administrators是否有新增賬戶
3、隱藏賬戶、克隆賬戶
登錄檔regedit, 檢視管理員對應值\HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users\Names;
或者直接用工具檢測D盾web查殺,克隆賬戶$;
4、日誌檢視管理員登入時間,使用者名稱是否異常
eventvwr.msc/計算機管理,開啟事件檢視器;
日誌分類:應用程式(程式執行、檔案錯誤等)、系統(系統元件事件、驅動軟體崩潰資料丟失等)、安全日誌(登入日誌、程序、賬戶管理
策略變化等);
預設位置:C:\Windows\System32\Winevt\Logs\Application.evtx;System.evtx;Security.evtx
檢視管理工具-本地安全策略-本地策略-稽核策略配置;
事件日誌分析/日誌分析工具log parser
ID 說明
4624 登入成功
4625 失敗
4634 登出成功
4647 使用者啟動登出
4672 管理員登入
4720 建立使用者
特別關注賬戶名稱、登陸型別、程序名稱、源網路地址:
二、埠、程序
1、埠連線,是否有惡意外聯;
netstat -ano檢視網路連線;定位pid後,透過tasklist定位程序;tasklist | findstr "pid"
2、程序檢查
執行-msinfo32-檢視正在執行任務,詳細程序資訊;
d盾查殺工具;
命令:
檢視埠對應程序pid:netstat -ano |findstr "21";埠號
檢視程序對應pid:tasklist |findstr "pid"
三、啟動項、計劃任務、服務
1、異常啟動項
執行-msconfig,是否有異常啟動專案;登錄檔regedit啟動項;
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;檢視是否異常
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
2、計劃任務
計算機管理-計劃任務;檢視計劃任務屬性
3、服務
services.msc;是否有自啟動服務
四、系統版本、補丁資訊
1、systeminfo,檢視系統資訊
2、可yi目錄/檔案
%Userprofile%\Recent分析最近開啟的可疑檔案;或者各個目錄檔案時間排序檢視;
3、回收站、瀏覽器下載歷史記錄
4、修改時間在建立時間之前的可疑檔案;
5、發現webshell和木馬遠控,判斷同一時間範圍建立的檔案;
檔案搜尋透過修改時間搜尋;
五、病毒查殺
殺軟、更新病毒庫,全盤掃;
webshell的話更具具體站點路徑,多款殺軟彌補規則庫不足;
linux入侵排查
一、賬戶安全
1、使用者資訊,檢視/etc/passwd,使用者名稱,密碼,使用者id,組id,說明,家目錄,登入之後shell
檢視是否有多餘使用者; awk -F: '$3==0{print $1}' /etc/passwd
2、影子檔案/etc/shadow,使用者名稱,加密密碼,最後修改日期,兩次密碼修改間隔,密碼有效期,告警天數,過期寬限天數,失效時間
命令:
who 當前登入使用者
w 檢視系統資訊
uptime 系統登入多久、多少使用者、負載情況
檢視是否有遠端登入使用者 awk '/\$1|\$6{print $1}' /etc/passwd
3、除root賬戶外,其他賬戶存在sudo許可權;
cat /etc/sudoers | grep -v grep -v"^#\|^$" |grep "ALL=(ALL)"
4、禁用刪除多餘或可疑賬戶
usermod -L user 禁用賬戶,賬戶無法登入
userdel user 刪除user使用者
userdel -r user 刪除user使用者,將home目錄下user目錄一併刪除
5、檢視歷史命令history
進入使用者目錄下:cat .bash_history
二、異常埠程序
1、進行連線,埠:netstat -antlp;netstat -ano
檢視程序、cpu、mem記憶體等情況,ps -aux |grep pid
2、開機啟動項;
檢視執行級別命令:runlevel;
設定系統預設允許級別:
vi /etc/initab; id=3:initdefault 開機進行3級別
檢查開機啟動配置檔案:etc/rc.local etc/rc.d/rc[0-6].d
3、定時任務
crontab -l 列出使用者cron服務的詳細內容;
檢視目錄下是否有惡意指令碼;
/cron.daily
/var/spool/cron
/etc/crontab
/etc/cron.d
/etc/cron.hourly
/etc/cron.monthly
/etc/cron.weekly
/etc/anacrontab
/var/spool/anacron
4、檢查服務
檢視安全的軟體包:chkconfig --list 服務自啟動狀態;
ps aux |grep crond 檢視當前服務
5、檢查異常檔案
敏感目錄tmp目錄,..資料夾具有隱藏屬性;
檢視webshell、遠控木馬建立時間,找出同一時間範圍建立檔案
find /opt-inname "*" -atime 1 -type f 找出opt下一天前訪問過的檔案
Linux日誌分析
預設存放位置:/var/log
檢視日誌配置:cat /etc/rsyslog.conf
重點檢視:登入失敗日誌:/var/log/btmp,最後一次登入:/var/log/laslog,登入成功:var/log/wtmp,安全日誌:var/log/secure;歷史命令:history,刪除: -c**
日誌分析常用命令:find(指定目錄查詢檔案)find /etc -name init
、grep(文字搜尋,查詢含有某字串的所有檔案) grep -rn "hello"
、egrep(擴充套件grep)、
awk(文字分析)、sed(文字查詢替換刪除等);