首页 > 其他分享 >应急响应处置思路与流程

应急响应处置思路与流程

时间:2024-06-16 09:01:49浏览次数:24  
标签:文件 xargs grep name 排查 流程 响应 应急 find

HVV中常见应急问题:

不确定攻击成功

服务器进行排查

windows服务器
账号排查

隐藏用户排查

  • net user
  • wmic查看
  • 用户管理查看
  • 注册列表查看

账户登录日志排查

  • 4624登录成功
  • 4625登录失败
  • 4720账户创建
  • 4724尝试重置密码
  • 4738账户已更改

logoff踢出用户

网络连接排查
  • netstat   -ant
  • -a 显示所有网络连接、路由表和网络接口信息
  • -n  ——数字的形式现实地址和端口号
  • -o现实与每个连接相关得所属进程ID
  • Listening
  • Esablished
  • Close_wait
进程排查
  • Pchunter
  • 火绒剑
文件排查
  • 针对文件排查需要熟知常落地文件的类型以及作用。
  • webshell-当有文件上传或者其他漏洞时常落地文件。
  • mimkatz-用于破解域或者计算机密码 远控-常见为CS上线样本。
  • frp-内网渗透端口转发
  • Empire-类似metasploit,针对powershell利用
  • sockscap--端口转发
  • Proxychains--做socks代理(linux自带)
  • Portscan.ps-针对windows端口扫描的powershell脚本。
  • PowerShell-AD-Recon-针对windows域管理的各种脚本,域渗透必备
  • 针对以上文件,一旦在存在,必然被入侵。校验MD5值

根据文件创建时间判断

当发现可疑文件后处置:

简单丢入沙箱中进行检查 使用“干净操作系统进行跟踪” 针对网络进行监控。 求助后场进行分析。

linux服务器
账号排查
  • cat   /etc/passwd
  • 查询uid为0的账户
  • 分析可登录账户
  • 查询用户错误的登陆信息
  • 查询用户最后的登录信息
  • 查看用户最近登录信息
  • 查看当前用户登陆系统情况
  • 查看空口令账户
网络连接排查
  • netstat  -antlp
  • netstat  -antlp  | more
  • ps  aux      |    grep  pid
进程排查
  • lsof   -p  PID查看进程打开的文件
  • ps  -ef  |  awk'{print}'   |   sort  -n  |  uniq  >1
文件排查 

针对webshell排查的方式: 使用软件进行全文件扫描。

  • find ./ -type f -name “*.jsp” | xargs grep “exec(”
  • find ./ -type f -name “*.php” | xargs grep “eval(”
  • find ./ -type f -name “*.asp” | xargs grep “execute(”
  • find ./ -type f -name “*.aspx” | xargs grep “eval(”
  • find ./ -type f -name “*.php” | xargs grep “base64_decode”

根据文件创建时间来排查

样本分析小技巧:

在HW过程中现红队常使用的cobaltstrike。其中在使用go语言生成后门程序的时候,会在程序字符串中保存go语言的相关组件,记录组件的方式路径+组件名称,如果没有加壳的话,可疑直接进行string分析。

标签:文件,xargs,grep,name,排查,流程,响应,应急,find
From: https://blog.csdn.net/weixin_55762309/article/details/139667579

相关文章

  • JIPB | 中国农科院&华南农大王海洋等综述玉米响应密植的遗传调控分子机制
    现代玉米育种中,提高品种耐密性和种植密度是提高玉米单产的关键措施。玉米密植后群体通风、透光性降低,会引起避荫反应,造成株高和穗位高增加、抗生物和非生物胁迫能力降低、植株抗倒性降低,并最终导致产量损失。因此,培育耐密理想株型玉米是提高玉米耐密性的重要途径。2023年12月22日......
  • Spring基础 - SpringMVC请求流程和案例
    前文我们介绍了Spring框架和Spring框架中最为重要的两个技术点(IOC和AOP),那我们如何更好的构建上层的应用呢(比如web应用),这便是SpringMVC;SpringMVC是Spring在SpringContainerCore和AOP等技术基础上,遵循上述WebMVC的规范推出的web开发框架,目的是为了简化Java栈的web开发。......
  • 响应状态码
    文章目录1.状态码大类2.常见的响应状态码1.状态码大类状态码分类说明1xx响应中——临时状态码,表示请求已经接受,告诉客户端应该继续请求或者如果它已经完成则忽略它2xx成功——表示请求已经被成功接收,处理已完成3xx重定向——重定向到其它地方:它让客户端再发起一......
  • 数据读写流程
    数据读写流程在bitcast论文中,想要获取内存中存储的数据,我们首先得获取索引数据,在索引数据中获取到文件id以及数据存储所在位置,然后根据这些信息去读取文件内容。所有我们在进行写数据时也得有两步,第一步将keyvalue信息持久化到文件中,第二部是将索引信息保存到内存中。流程如下......
  • android studio 启动虚拟机长时间无响应,无法启动(二)
    书接上回,MAC更新到11.0需要40GB,但是我的电脑一共120GB,系统内存占了70GB,更新完MAC是剩不下空间了,因此不选择更新版本,重新安装了较低版本的AndroidstudioAndroidstudio官网又出现了新的问题。。。问题PANIC:BrokenAVDsystempath.CheckyourANDROID_SDK_ROOTvalu......
  • caddy 服务器的 Docker 镜像构建流程
     构建一个包含Caddy服务器的Docker镜像,关键部分:https://github.com/caddyserver/caddy-docker/blob/master/Dockerfile.tmpl这个Dockerfile精心设计,用于自动化构建一个包含最新版CaddyWeb服务器的Docker镜像,支持自动HTTPS,并配置了基本的文件结构和执行环境。 1.......
  • flask路由系统、偏函数、CBV、模板、请求响应、session、请求扩展
    路由系统1代码演示23fromflaskimportFlask45app=Flask(__name__)67app.debug=True8#路由基本使用9#@app.route('/',methods=['GET'])10#@app.get()11#@app.post()12defindex(name):13print(name)14return&......
  • 【学习笔记】透视HTTP协议(六):发起请求后,处理流程是怎么样子的?
      本文是一篇学习笔记,学习的课程是极客时间的《透视HTTP协议》。透视HTTP协议_HTTP_HTTPS-极客时间(geekbang.org)本文主要描述发起请求后,具体的处理过程。目录一、简述浏览器HTTP请求过程二、详述浏览器HTTP请求过程一、简述浏览器HTTP请求过程示例:在Chrome浏览......
  • # android studio启动虚拟机长时间无响应,无法启动
    问题虚拟设备长时间不响应,无法启动设备方案根据androidstudio启动虚拟器失败尝试删除锁文件失败,.android目录下不存在锁文件电脑内存或计算配置不足查看了模拟器需要的内存,我的电脑还有10GB,应该是绰绰有余模拟器版本不对重新下载了30版本的,依然不响应,真......
  • 利用某些平台(聚合API、百度AI、科大讯飞API)的API接口,利用HTTP协议向服务器发送请求,并
    要使用C语言通过HTTP协议向服务器发送请求并接收响应,你可以使用如libcurl这样的库来发送HTTP请求。libcurl是一个免费且易于使用的客户端URL传输库,支持多种协议,包括HTTP。同时,为了解析服务器响应中的JSON数据,你可以使用cJSON库,这是一个轻量级的JSON解析库。以下是一个简单的示例......