前言
本文只做分享,技术交流
由于攻击面广、攻击路径不定;
怎样快速定位、快速分析安全入侵、攻击事件,快速取证并及时上报就显得尤为重要。
目录
常见的安全事件有哪些?
入侵事件
- 主机、服务器被入侵
- WEB站点入侵
信息泄露事件
- 敏感信息泄露
- 用户弱口令
- 源代码泄露
Web应用安全事件
- SQL注入
- XSS
- XXE
- 短信炸弹
- 反序列化
- 文件上传
怎么去找这些造成安全事件的因素呢?
日志分析
- 安全设备日志
- 主机日志
- 中间件日志
- 应用程序日志
恶意文件监控
- 木马
- Webshell
- 其他可疑文件
安全威胁情报
什么样的情况下是出现了安全事件呢?
系统运维报告异常
- 网络丢包
- 系统频繁重启
- 系统蓝屏
- 系统资源占用率过高
业务用户投诉或者抱怨
- 用户收到异常短信
- 用户异常退出登陆
被通报
那我们该怎么去判断他的一个影响范围呢?
异常主机所处网络环境
- 内网接入区
- 外来接入区
- 单台主机or多台主机
- 已被感染or处于危险中
异常主机用途
- 个人办公主机
- 特殊权限主机
- 工控主机
- 应用服务器
- 数据库服务器
- 域控服务器
快速有效分析与侦查的方法
-
三要素法
- 时间
- 攻击发现时间
- 报案时间
- 后门文件时间
- windows
- Linux
- 异常时间段
- Web访问日志
- 操作系统日志
- 安全设备日志
- 攻击发现时间
- 地点
- 恶意文件首次出现目录
- 文件上传
- 代码执行
- 残留文件所在目录
- 自动化攻击
- 认为上传/下载
- 恶意文件首次出现目录
- 事件
- 应用后台日志
- 登陆日志
- 上传点
- 安全设备日志
- 暴力破解
- 恶意文件上传
- SQL注入
- 对外应用访问日志
- FTP访问日志
- SSH认证日志
- 远程桌面日志
- 系统日志
- web运行账户
- root用户
- 易受攻击账户
- 应用后台日志
- 时间
-
经验法
- 攻击者常用的一些目录
- 社会工程学常见手法
- 恶意邮件
- 钓鱼网站
- 微信假扮系统维护人员索要系统账号
- 常见的一些服务端口
详情请看我的另外一篇文章
标签:文件,高效,上传,安全事件,主机,响应,日志,应急,异常 From: https://blog.csdn.net/weixin_55762309/article/details/139711257