首页 > 其他分享 >应急响应基础技能

应急响应基础技能

时间:2023-04-06 22:23:35浏览次数:34  
标签:文件 查看 etc cron 响应 排查 进程 应急 技能

windows

任务计划列表

1. 计算机管理窗口,选择 系统工具 中 任务计划程序 中的 任务计划程序库选项 可以查看任务计划的名称,状态,触发器等详细信息

2.powershell中输入get-scheduledtask 可以查看当前系统所有任务计划信息

任务路径,名称,状态等详细信息

3.命令行中输入schtasks命令,获取任务计划信息

进程排查

对于windows系统排查中,找到恶意进程的pid,程序路径,还需要找到ppid以及程序加载的DLL

1. 通过任务管理器排查 

win+r taskmgr 
右键name 添加命令行

2.通过tasklist排查

#tasklist 可以查看 每个进程提供的服务
  tasklist /svc    #显示每个进程和服务的对应情况
#tasklist可以查看每个进程加载了什么模块
  tasklist /m
#如果确定了某个模块是恶意模块可以查找启动了这个模块的服务的情况
  tasklist /m ntdll.dll

3.通过netstat命令进行排查

一般来说都是通过netstat定位出pid后再通过task list定位程序

服务排查

1. service.msc命令打开服务窗口 查看所有服务项 名称,秒速,状态等

文件痕迹排查

通常情况下可以对以下方面对文件痕迹进行排查

  1. 恶意软件常用的敏感路径进行排查

  2.确定了应急响应时间点后,对时间点前后的文件进行排查

  3.对带有特征的恶意软件进行排查,包含代码关键字或关键字函数,文件权限特征等

1.敏感目录

恶意程序一般会在程序中写好投放的路径,临时文件的路径相对统一,一般来说查看临时目录下是否有异常文件.

c:\windwos\tmp

2.预读取文件查看

Prefetch是预读取文件夹,用来存放系统已经访问过的文件的预读取信息,扩展名为pf.自动创建 prefetch文件夹是为了快系统启动进程

文件位置 c:\windows\Prefetch 

根据应急响应时间进行查看

1.根据时间点来查看forfiles命令

forfiles /p /m /s /c /d

/p Path : D:\xx|xx
/m searchmask    默认的searchmask是 *.* 例如 *.rar文件
/s forfiels 再子目录中搜索
/c command 在每个匹配的文件上运行指定的command,带有空格的命令字符串必须用双引号括起来默认的command是 "cmd /c echo @file"
/d +/-mm/dd/yyyy|dd

对2022/2/12日以后的exe文件暴露出来
forfiels /p c:\ /m *.exe /s /d +2022/2/12 /c "cmd /c echo @path @fdate @ftime " 2>null

2.webshell查找

可以通过D盾等

日志排查

系统日志
主要是windows各个组件在运行中产生的各种事件
系统中各种驱动程序在运行中出现的重大问题.操作系统的多种组件出现重大问题,应用软件出现重大问题

重大问题包括重要数据丢失,错误,以及系统产生的崩溃行为
安全性日志

安全日志记录了各种与安全相关的事件.包括登录与退出系统的成功不成功信息
对系统中各种重要资源进行操作,例如:系统文件的创建,删除,更改操作
应用程序日志

记录了各种应用程序产生的各类事件.
系统中sqlserver数据库被暴力破解时,会有相关的记录.包含对应时间相关的详细信息. 

事件级别

  • 错误:重大问题,包括数据丢失,功能损失,例如服务启动期间无法加载
  • 警告:潜在问题,例如 磁盘空间低,记录一个警告
  • 信息:程序和服务是否操作成功的事件 例如 网络驱动成功加载

日志被清除相关日志事件ID对应的描述

事件日志服务关闭  1100  信息  安全

事件日志被清除  104  信息  系统

事件日志被清除  1102  信息  安全

linux

查看用户信息

1. 查看系统所有用户信息

cat /etc/passwd

2.分析超级用户权限

awk -F:'{if($3=0)print $1}' /etc/passwd

3.查看可登录账户

cat /etc/passwd | grep /bin/bash

4.查看用户错误的登陆状态

lastb    #查看用户错误的登陆列表,错误的登录方法,IP地址,以及时间等等

5.查看所有用户的最后登陆状态

lastlog    

6.查看当前用户登录系统状态

who

7.查看空口令账户

awk -F : ' length($2)==0 {print $1}' /etc/shadow

启动项

#/etc/ini.d文件时自启动的内容

cat /etc/ini.d/rc.local   #查看init.d文件夹下的rc.local文件内容
cat /etc/rc.local         #查看rc.local文件内容
ls -alt /etc/init.d        #查看init.d文件夹下所有文件的详细信息

任务计划列表

1. crontab -l 命令查看当前的任务计划,指定用户进行查看

crontab -u root -l 查看root用户的任务计划

2.查看etcl下的任务计划文件

linux系统中的任务计划文件以cron开头,利用正则表达式的* 筛选所有以cron开头的文件

ls /etc/cron*

通常还包含任务计划的文件夹,* 代表文件夹下所有文件

/etc/crontab  /etc/cron.d/*
/etc/cron.daily/*  /etc/cron.hourly/*
/etc/cron.monthly/*  /etc/cron.weekly/
/etc/anacrontab

进程排查

netstat 查看网络连接

netstat -ano or netstat -pantl
#分析可疑端口可疑ip,可疑pid以及程序进程.

根据pid的值利用

#ls -alt /proc/pid命令查看其对应的可执行程序

ls -alt /proc/2963

利用lsof -p pid命令查看进程打开的文件

lsof -p 2963 #查看pid为1963进程打开的文件

查杀文件

1. 恶意进程使用kill命令结束
kill -9 pid
2.使用rm命令删除木马文件
rm -rf filename 
3.如果root用户无法删除,可能是该文件加上了i属性

lsattr filename    #查看文件属性
chattr -i filename    #移除i属性
4.如果存在守护进程而无法删除,通过先把进程挂起,查杀守护进程后,再将进程删除

服务排查

1.chkconfig --list 

chkconfig --list
atd     0:off    1:off    2:on    3:on    4:on  5:off    6:off

1单用户模式
2无网络连接的多用户命令行模式
3.有网络连接的多用户命令行模式
4.不可用
5.带图形界面的多用户模式
6.重新启动

2.service --status-all

查看所有服务的状态

文件痕迹排查

1. 敏感目录

/tmp 和~/.ssh和/etc/ssh的authorized_keys 存放黑客的公钥

2.时间点查找

  find命令

find :指定目录下查找文件

-type b/d/c/p/l/f 设备,目录 字符设备 管道 符号链接 普通文件

-mtime -n +n 文件更改时间查找 units:day

-atime -n +n 文件访问时间

-ctime -n +n 创建时间查找 

  stat命令

stat 命令能够详细查看文件的创建时间,修改时间和访问时间,修改时间距离应急响应时间日期接近,线性关联说明可能被篡改

stat /var/www/html/q.php查看这个文件的相关时间属性

3.对系统命令进行查询 ls 和ps命令等可能会被攻击者篡改

ls -alt /bin    #查看命令目录中相关系统命令的修改时间
ls -alh /bin   # 查看相关文件大小,如果明显i安达,则文件很可能被鹈鹕按

4.linux后门查杀

利用第三方查杀工具chkrootkit,rkhunter等检测rootkit是否被安装到当前系统中.

5.排查suid程序/查找suid程序

find / -type f -perm 04000 -ls -uid 0 2>/dev/null

 

 

标签:文件,查看,etc,cron,响应,排查,进程,应急,技能
From: https://www.cnblogs.com/lisenMiller/p/17294440.html

相关文章

  • HTTP请求数据格式及响应数据格式
    一、什么是HTTP概念:HyperTextTransferProtocol,超文本传输协议,规定了浏览器和服务器之间数据传输的规则  HTTP协议特点:1、基于TCP协议:面向连接,安全2、基于请求-响应模型的:一次请求对应一次响应3、HTTP协议是无状态的协议:对应事务处理没有记忆能力。每次请求-响应都是独......
  • cbv分析,模板,请求与响应,session及源码分析,闪现,请求扩展
    cbv分析,模板,请求与响应,session及源码分析,闪现,请求扩展cbv分析cbv编写视图类的方法#导入flaskfromflaskimportFlask,request#导入cbv需要的MethodViewfromflask.viewsimportMethodView#实例化flask对象app=Flask(__name__)app.debug=True#编写cbvclass......
  • 移动端响应式布局
    实现响应式布局开发的步骤寻找参照的比例(例如设计稿的比例),在这个比例下给网页的字体设置一个初始值,便于计算可以设置为100px,不可以设置为12px以下的,因为浏览器最小字体为12px,如果设置为10px则会按照12px进行计算。未来我们要把设计稿中测量出来的尺寸(px)转换为REM单位去设置样式......
  • 第四十二篇 vue - 进阶主题 - 深入响应式系统
    响应式系统Vue最标志性的功能就是其低侵入性的响应式系统。组件状态都是由响应式的JavaScript对象组成的。当更改它们时,视图会随即自动更新。这让状态管理更加简单直观,但理解它是如何工作的也是很重要的,这可以帮助我们避免一些常见的陷阱。在本节中,我们将深入研究Vue响应性......
  • Winform/Caharp中使用HttpClient时添加请求头以及响应文件流实现文件下载
    场景Winform中怎样使用HttpClient调用http的get和post接口并将接口返回json数据解析为实体类:https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/124157296在上面使用HttpClient调用get以及post接口的基础上,如何在请求接口时添加请求头,比如接口需要鉴权,获取token之后......
  • 怎么利用CSS实现HTML5响应式导航栏
    在html5中实现响应式导航栏的方法有很多种,如何利用纯CSS来现实这一功能,在这里小编就通过实例来和大家讲解,纯CSS实现的HTML5响应式导航栏的方法和技巧。目前响应试web页面已经逐渐开始盛行,除了将页面的内容以及布局结构实现响应试以外,剩下的重点就是实现导航栏的响应试,当然方法有很......
  • html5从响应式导航开始
    常用的一个响应式网页导航条解决方案,整理记录。效果展示入口:https://shanhubei.github.io/navigationh5/html结构和js代码都很简单,主要是css样式。直接粘上来的代码有点乱。最下面有demo的下载地址,可以下载看整理过的代码。主要的css知识点有:@mediascreenand(max-width:1279px......
  • flask:cbv源码分析、模板语法、请求与响应、session及源码分析、闪现(flash)、请求扩展
    目录一、cbv源码分析1.1基于类的视图写法1.2源码分析1.3分析源码,查找不传别名的时候为什么函数名会变成别名1.4flask的路由注册使用装饰器,如果写了一个登录认证装饰器,那么应该放在路由装饰器上还是下?1.5dispatch_request讲解1.6知识点总结二、模板语法2.1py2.2html三、请......
  • flask框架02 cbv分析 模板 请求与响应 session 闪现 请求拓展
    今日内容详细目录今日内容详细1cbv分析1.1源码分析2模板2.1py文件2.2html页面3请求与响应4session及源码分析4.1session的使用4.2源码分析5闪现6请求拓展1cbv分析#基于类的视图,写法fromflaskimportFlask,requestfromflask.viewsimportView,MethodView......
  • cbv分析、模板、请求与响应、session及源码分析、闪现、请求扩展
    cbv分析#基于类的视图,写法fromflaskimportFlask,requestfromflask.viewsimportView,MethodViewapp=Flask(__name__)app.debug=True#视图类,继承MethodView,类中写跟请求方式同名的方法即可,之前学的所有都一致classIndexView(MethodView):defget(s......