被打进来了,首先要干什么,其次要干什么?这都是有顺序的,分秒必争
服务器沦陷-->判断服务器所属范围-->是类似于dmz区的服务器,还是内网服务器,还是中转服务器-
dmz区服务器-->可能通过web漏洞打进来的-->根据查看态势感知日志或者本地日志研判攻击原因-——>上机查杀木马------>清理权限维持------->安全加固
内网服务器-->那大概率是横向过来的----->把主机下架或做出口流量限制----->根据态势感知排查横向原因------>排查权限维持等后门------>逆向处理直至找到web服务器开口并加固封堵
员工个人pc------>大概率是钓鱼邮件---->一般都是免杀马--------->可以用工具先扫一扫,然后排查一下最新上传的文件,新建用户,自启动,异常外部连接,排查一下是不是白+黑免杀马
一般来讲,回溯攻击链还是用态势感知里面的那个日志搜索方便些,Linux你日志搜索需要自己编写Linux命令,并且也很麻烦,判断一个攻击进行的全部操作光查看一个日志是不行的,不全
并且很麻烦,应急响应有态势感知会方便很多。
应急响应基本分为三个方向,每一步都是为下一步做准备,也是按照攻击者的思路逆向的步骤
第一就是查找被攻进来的原因,是通过什么方式打进来的
第二节就是无论通过什么方式,定位研判木马文件并且查杀
第三就是清理留下的后门并且安全加固
主要就是这三步,像什么内存马之类的,一般就是在中间件服务器上比较多,查杀通过一键梭哈工具java-memshell-scanner或者arthas分析源码,process monitor查找操作命令,甚至直接重启服务器都可以,
详细内存马查杀过程见内存马查杀笔记。其次就是一些钓鱼邮件,一般都是免杀马,这个一般就是看恶意外部链接,或者通过查看签名,查看软件面述信息,查看软件或者dll的时间戳,查看dll源码等操作进行判断
像横向渗透这种,相对于前两种就比较麻烦了,横向有很多方式,可能是通过常规漏洞比如17010,14068,也可能是通过比如密码喷洒这种方式,如果发现了横向流量我觉得也不用太着急了,快速处理可能还有点效果,晚了基本上离内网完全失陷也是不远了,横向攻击有方式,所以排查起来还是按照应急响应三步骤,怎么打进来的,木马在哪儿,有没有后门等。横向攻击既可以通过态势感知查流量,如果在特殊情况下,横向的流量态势感知没有抓到,那也是可以通过windows自带的日志进行判断的,不过这就是非常非常麻烦的事情了。
标签:--,横向,查杀,响应,实操,服务器,日志,应急,感知 From: https://www.cnblogs.com/sdgfsdgfsd/p/18293105