首页 > 其他分享 >应急响应之入侵排查(下)

应急响应之入侵排查(下)

时间:2025-01-11 21:59:28浏览次数:3  
标签:文件 log 查看 响应 Windows 排查 var 日志 应急

一.进程排查

1.Windows
  1. 任务管理器查看

    • 在 Windows 系统中,可通过任务管理器查看进程信息。操作步骤为:在任务管理器界面,于 “查看” 选项中选择 “选择列”,随后添加 “映像路径名称” 和 “命令行”,以此查看更多进程详情。
  2. 使用 tasklist 命令

    1. 查看进程与服务对应情况:使用命令 tasklist /svc
    2. 针对某些 DLL 恶意进程:执行 tasklist /m
    3. 查看调用特定模块进程:若要查看调用 ntdll.dll
    4. 利用 /fi 进行过滤:如 tasklist /svc/fi "PID eq 2820"
  3. 通过 netstat 进行排查

    1. 查看当前网络连接:输入 netstat -ano | findstr "ESTABLISHED"

    2. 联合定位程序:先通过 “netstat” 定位出 PID,再借助 “tasklist” 命令进行程序定位,示例:

      • “wmic process where name="firefox.exe" get processid,executablepath,name”
      • “wmic process where processid=602444 get processid,executablepath,name”
    1. 快速定位端口对应程序(需管理员权限):netstat -anb
  4. 使用 Powershell 进行排查

    • 进入 Powershell 后,输入 get-wmiobject win32_process | select name,processid,parentprocessid,path​ ,可获取进程的相关详细信息。


  5. wmic 查询

    1. 以 csv 格式显示数据:

      • wmic process list full /format:csv
      • wmic process get name,parentprocessid,processid /format:csv
      • wmic process get executablepath,processid /format:csv
    1. 根据进程 ID 查询:wmic process where processid=2020 get executablepath,processid /format:csv
    2. 根据进程名称查询:wmic process where name="httpd.exe" get executablepath,processid /format:csv
2.Linux
  1. 查看进程:netstat -anptl

  2. 查看特定进程可执行程序及打开文件:

    • 先通过 “netstat” 查看到如 “3364” 进程,再执行 “ls -alt /proc/3364” 查看其可执行程序。
    • 查看进程打开的文件则使用 “lsof -p 3364”。
  1. 处理恶意进程:

    • 若判断为恶意进程,可杀掉进程:kill -9 3364
    • 接着删除可疑木马,执行 rm -rf 木马文件
  1. 处理文件属性问题:

    • 若无法删除文件,可能文件被加上 “i” 属性,此时先使用 lsattr 文件名​ 查看属性。
    • 再用 chattr -i 文件名​ 移除 “i” 属性,之后便可删除文件。
  1. 查杀守护进程:若进程无法删除,可疑先查杀守护进程,然后再尝试删除。
  2. 查看资源占用率高的进程:通过 “top” 命令查看相关资源占用率比较高的进程。

二.服务排查

1.Windows
  • 在 Windows 下,按 Win + R 调出 “运行” 对话框,输入 “services.msc” 回车,就能打开 “服务” 窗口,查看服务名、描述、状态等信息。
2.Linux
  1. 基于 Red Hat 系

    • 对 Red Hat 系列 Linux 系统,用 chkconfig --list​ 可查看系统运行服务,但它有系统适配性,仅适用于 Red Hat 系及其兼容系统。
  2. Debian 系(如 Ubuntu)及通用方式

    • 在 Debian 系(如 Ubuntu)中,因系统特性无 “chkconfig” 命令,可用 service --status-all​ 查看所有服务即时状态。


三.文件痕迹排查

确定应急响应事件时间点后,对该时间点前后的文件以及带有特定特征的恶意软件进行排查。特征包括代码关键字、关键函数、文件权限特征等。

1.敏感目录
  1. Windows:

    • 检查各个盘下的 temp(tmp)相关目录,恶意程序释放子体常投放于此,可查看临时目录下是否存在异常文件。对于人工入侵事件,需重点排查浏览器历史记录、下载文件和 cookie 信息。

      • 查看用户 Recent 文件:Recent 文件存储最近运行文件快捷方式,可分析排查可疑文件,存储位置为 C:\Users\Administrator\Recent、C:\Users\ 用户名 \Recent,或通过 “运行” 输入 “recent”。

      • 预读取文件夹查看:Prefetch 是预读取文件夹,存放系统访问过文件的预读取信息,扩展名为 pf,可加快系统启动进程。Windows 7 可保存最近 128 个可执行文件信息,Windows 8 和 Windows 10 可记录最近 1024 个可执行文件,位置为 % SystemRoot%\Prefetch\​,可在 “运行” 对话框输入 prefetch​ 或 % SystemRoot%\Prefetch\​,或打开 C:\Windows\Prefetch​。


  2. linux:
    常见敏感目录有 /tmp​ 目录和命令目录 /usr/bin​、/usr/sbin​ 等,常作为恶意软件下载或文件被替换目录;~/.ssh​ 以及 /etc/ssh​ 也常作为后门配置路径,需重点排查。

2.时间点

介绍:确认应急响应事件时间点,排查该时间点前后文件变动情况以缩小范围。

  1. Windows

    通过列出攻击日期内新增的文件来发现相关恶意软件。在 Windows 系统中,使用 forfiles​ 命令查找相应文件。

    • 命令示例:

      • 显示对 2024/1/17 后的创建的 txt 文件进行搜索:forfiles /m *.txt /d +2024/1/17 /s /p c:\ /c "cmd /c echo @path @fdate @ftime" 2>null​
      • 显示 2024/1/17 之后 pptx 名字包含” 网络 “的文件:forfiles /m *网络*.pptx /p f:\ /d +2024/1/17 /s /c "cmd /c echo @path @fdate @ftime" 2>null​
      • 显示 2024/1/17 后所有访问过的文件:forfiles /m *.* /p f:\ /d +2024/1/17 /s /c "cmd /c echo @path @fdate @ftime" 2>null​
      • 注:2>null​ 表示将错误输出重定向到空设备,即不输出错误信息。
    • 排查注意事项:对文件的创建时间、修改时间、访问时间进行排查。对于人工入侵的应急响应事件,攻击者可能会使用如 “菜刀” 这类工具修改文档时间以掩饰入侵行为、规避排查策略。若文件相关时间存在明显逻辑问题(如创建时间为 2024,修改时间为 2022),则需重点排查,很可能是恶意文件。

  2. Linux

    通过列出攻击日期内变动的文件来发现相关恶意文件,使用 find​ 命令对某一时间内增加的文件进行查找。

    • ​find​ 命令参数说明:

      • ​find​:在指定的目录下查找文件。
      • ​-type b/d/c/p/l/f​:查找块设备、目录、字符设备、管道、符号链接、普通文件。
      • ​-mtime -n +n​:按文件更改时间来查找文件,-n​ 指 n 天以内,+n​ 指 n 天前。
      • ​-atime -n +n​:按文件访问时间来查找。
      • ​-ctime -n +n​:按照文件创建时间来查找。
    • 命令示例:

      • 查找一天内新增的 txt 文件:find / -ctime 0 -name ".*txt"​
      • 查找 3 天内新增的 txt 文件:find / -ctime -3 -name "*.txt"​
      • 查看目录按照时间排序:ls -alt | head -n 10​(查看前 10 条的内容)
    • 时间排查要点:对文件的创建时间、修改时间、访问时间进行排查。使用 stat​ 命令可以查看文件详细信息,若修改时间距离应急响应事件日期接近且有线性关联,说明文件有可能被篡改。

  3. Linux特殊文件

    • 特殊权限文件查找:例如,查找 /tmp​ 目录下权限为 777 的文件:find /tmp -perm 777​
    • webshell 查找:webshell 排查可以通过文件、流量、日志分析。基于文件的命名特征和内容特征操作相对较高。例如查找 /var/www​ 下所有 php 文件:find /var/www/ -name "*.php"​;进一步对找到的 php 文件进行特定内容搜索:find /var/www/ -name "*.php" | xargs egrep "assert|eval|base64_decode|shell_exec|passthru|(\$\_\POST\["​
3.WebShell

WebShell(网站入侵脚本)在通过上述时间点相关文件筛选方法之后,还可以使用 D 盾、HwsKill、webshellKill 等工具对目录下的文件进行规则查询。

四.日志分析

1.Windows日志分析
  1. 日志文件位置

    • Windows XP/windows server 2003:

      • 系统日志:C:\Windows\System32\config\SysEvent.evt
      • 安全性日志:C:\Windows\System32\config\SecEvent.evt
      • 应用程序日志:C:\Windows\System32\config\AppEvnet.evt
    • Windows vista/windows 7/windows8/windows10/Windows server2008 之后:

      • 系统日志为 C:\Windows\System32\winevt\Logs\System.evtx
      • 安全性日志为 C:\Windows\System32\winevt\Logs\Security.evtx
      • 应用程序日志为 C:\Windows\System32\winevt\Logs\Application.evtx
      • 或者打开 “运行”,输入 eventvwr.msc
  2. 不同类型日志介绍

    • 系统日志:指 Windows 系统中的各个组件在运行中产生的各种事件,可分为系统中各种驱动程序、操作系统的多种组件及应用软件在运行中出现重大问题等情况,如重要数据丢失、错误及系统崩溃行为等。
    • 安全性日志:主要记录各种与安全相关的事件,包括各种登录与退出系统的成功或不成功信息,以及对系统中各种重要资源进行的操作。
    • 应用程序日志:主要记录各种应用程序产生的各类事件,如 SQL server 数据库程序在受到暴力破解攻击时会有相关记录及详细信息。
    • 其他日志:在应急响应中经常也会用到 PowerShell 日志。
  3. 日志分析方法

    • 通过内置的日志筛选器进行分析:使用日志筛选器可以对记录时间、事件级别、任务类别、关键字等信息进行筛选。
    • 使用 Powershell 对日志进行分析:在使用 powershell 进行日志分析时,需要管理员权限。常用命令有 Get-EventLog​(只获取传统事件日志)、Get-WinEvent​(从传统事件日志和新 windows 事件日志技术生成的事件日志中获取事件,还会获取 windows 事件跟踪(ETW)生成的日志文件中的事件,需要 windows vista/windows server2008 及更高版本的 windows 系统,还需要.NET Framework 3.5 及以上版本)。例如获取安全性日志下事件 ID 为 4624(登录成功)的所有日志信息:get-eventlog security -instanceid 4624​;get-winevent -filterhashtable @{logname='security';id='4624'}​。
2.Linux日志分析
  1. 日志存放位置

    Linux 系统中日志一般存放在目录 /var/log/​ 下,具体功能如下:

    • ​/var/log/wtmp​:记录登录进入、退出、数据交换、关机和重启,即 last,是一个二进制文件,可以使用 last 查看。
    • ​/var/log/cron​:记录与定时任务相关的日志信息。
    • ​/var/log/messages​:记录系统启动后的信息和错误日志,使用 cat /var/log/messages​ 查看。
    • ​/var/log/apache2/access.log​:记录 Apache 的访问日志。
    • ​/var/log/auth.log​:记录系统授权信息,包括用户登录和使用的权限机制等。
    • ​/var/log/userlog​:记录所有等级用户信息的日志。
    • ​/var/log/xferlog(vsftpd.log)​:记录 linux FTP 的日志。
    • ​/var/log/lastlog​:记录登录的用户,可以使用命令 lastlog 查看。
    • ​/var/log/secure​:记录大多数应用输入的账户和密码,以及登录成功与否。
    • ​/var/log/faillog​:记录登录系统不成功的账号信息。
    • ​ls -alt /var/spool/mail​:查看邮件相关记录文件。
    • ​cat /var/spool/mail/root​:可发现对 80 端口的攻击行为(当 web 访问异常时,及时向当前系统配置的邮箱地址发送报警邮件)。
  2. 日志分析方法

    对 Linux 系统日志分析主要使用 grep​、sed​、sort​、awk​ 等命令。查看日志的方法如下:

    • 查看最后 10 行日志:tail -n 10 test.log​。
    • 查看 10 之后的所有日志:tail -n +10 test.log​。
    • 查询头 10 行的日志:head -n 10 test.log​。
    • 查询除了最后 10 条的所有日志:head -n -10 test.log​。
3.其他日志
  1. IIS日志位置

    • %SystemDrive%\inetpub\logs\LogsFiles
    • %SystemRoot%\System32\LogFiles\W3SVC1
    • %SystemDrive%\inetpub\logs\LogFiles\W3SVC1
    • %SystemDrive%\Windows\System32\LogFiles\HTTPERR
  2. Apache 日志位置

    • /var/log/httpd/access.log
    • /var/log/apache/access.log
    • /var/log/apache2/access.log
    • /var/log/httpd-access.log
  3. Nginx日志位置

    • 默认在 /usr/local/nginx/logs​ 目录下,accessl.log​ 代表访问日志,error.log​ 代表错误日志,若没有在默认路径下,则可以到 nginx.conf 配置文件中查找。
  4. Tomcat日志位置

    • 默认在 TOMCAT_HOME/logs/​ 目录下,有 catalina.out​、catalina.YYYY-MM-DD.log​、localhost.YYYY-MM-DD.log​、localhost_access_log.YYYY-MM-DD.txt​、hostmanager.YYYY-MM-DD.log​、manager.YYYY-MM-DD.log​ 等几类日志。
  5. Weblogic日志位置

    在默认情况下,WebLogic 有三种日志,分别是 access log、server log 和 domain log。

    • access log 的位置:$MW_HOME\user_projects\domains<domain_name>\server<server_name>\logs\access.log
    • server log 的位置:$MW_HOME\user_projects\domains<domain_name>\server<server_name>\logs<server_name>.log
    • domain log 的位置:$MW_HOME\user_projects\domains<domain_name>\server<adminserver_name>\logs<domain_name>.log
  6. 数据库日志

    • Oracle 数据库:使用 select * from v$logfile​ 命令,可查询日志路径,在默认情况下,日志文件记录在 $ORACLE/rdbms/log​。使用 select * from v$sql​ 命令,查询之前用过的 SQL。
    • MySQL 数据库:使用 show variables like '%log_%'​ 命令,可查看是否启用日志,如果日志已开启,则默认路径为 /var/log/mysql​,使用 show variables like '%general%'​ 命令,可查看日志位置。
    • MsSQL 数据库:一般无法直接查看,需要登录到 SQL Server Management Studio,在 “管理 - SQL Server 日志” 中进行查看。

标签:文件,log,查看,响应,Windows,排查,var,日志,应急
From: https://blog.csdn.net/qq_37107430/article/details/145068132

相关文章

  • 服务器端口未开启的排查与解决
    问题描述:如何检查服务器上的特定端口是否已开启?如果发现端口未开启,应采取哪些措施来解决问题?答案:您好,当您怀疑某个端口未开启时,可以通过以下几种方式来检查和解决问题:一、检查端口状态使用 netstat 或 ss 命令:对于Linux系统,您可以使用 netstat-ntlp 或 ss-tnl......
  • PbootCMS后台登录失败:如何有效排查并解决“发生错误”的提示?
    缓存或临时文件残留在使用PbootCMS过程中,系统会在runtime目录下生成一些缓存和临时文件。这些文件在某些情况下可能会导致程序运行异常,进而引发登录错误。磁盘空间不足如果服务器所在的磁盘或存储空间已满,PbootCMS将无法正常写入必要的会话文件或其他数据,从而导致登录失败......
  • SpringBoot流式响应接口
    背景:做AI搜索功能,需要封装AI提供的一个流式接口,并且同样以流式接口的的形式给到前端版本SpringBoot。2.3.2.RELEASE依赖<dependency><groupId>io.projectreactor.netty</groupId><artifactId>reactor-netty</artifactId><version>0.9.10.RELEASE</ver......
  • 响应式布局与 CSS 技巧
    在设计页面布局时,要确保页面能够在不同尺寸的屏幕(如桌面端、移动端和平板电脑)上都能呈现出良好的视觉效果,响应式布局成为了我面临的首个重大挑战。起初,我只是机械地套用一些常见的CSS媒体查询规则,但往往得到的结果却不尽如人意,页面在某些屏幕尺寸下会出现元素错乱、排版不协调等......
  • Hawkeye :一款Windows综合应急响应工具
    文章来源以下公众号:也总想挖RCE,喜欢的师傅点点关注!简介Hawkeye(鹰眼)一款基于golang开发的安全工具,旨在帮助安全工程师上机排查时能够快速的定位问题,提供排查思路。功能外连分析当发现主机存在恶意外连时,并且知道外连地址,能够快速的定位外连的进程,以及进程的连接信息。同时根......
  • go-zero使用自定义模板实现统一格式的 body 响应
    前提go环境的配置、goctl的安装、go-zero的基本使用默认都会需求go-zero框架中,默认使用goctl命令生成的代码并没有统一响应格式,现在使用自定义模板的方式实现统一响应格式:{"code":0,"msg":"OK","data":{}}步骤1、下载模板goctltemplateinit下载完......
  • 第一届solar杯·应急响应挑战赛 部分WP
    ‍官方题解:mp.weixin.qq.com/s/kMvwfBJgd7ugaWzm5U-5Ww笔者:Agony签到题题目:本题作为签到题,请给出邮服发件顺序。Received:frommail.da4s8gag.com([140.143.207.229])bynewxmmxszc6-1.qq.com(NewMX)withSMTPid6010A8ADfor;Thu,17Oct202411:24:01+......
  • 第一届solar杯·应急响应挑战赛 部分WP
    ‍官方题解:mp.weixin.qq.com/s/kMvwfBJgd7ugaWzm5U-5Ww笔者:Agony签到题题目:本题作为签到题,请给出邮服发件顺序。Received:frommail.da4s8gag.com([140.143.207.229])bynewxmmxszc6-1.qq.com(NewMX)withSMTPid6010A8ADfor;Thu,17Oct202411:24:01+......
  • DolphinScheduler自身容错导致的服务器持续崩溃重大问题的排查与解决
    01问题复现在DolphinScheduler中有如下一个Shell任务:current_timestamp(){date+"%Y-%m-%d%H:%M:%S"}TIMESTAMP=$(current_timestamp)echo$TIMESTAMPsleep60在DolphinScheduler将工作流执行策略设置为并行:定时周期调度设置为10秒一次:将定时调度上线后......
  • JAVA开源免费项目 基于Vue和SpringBoot的常规应急物资管理系统(附源码)
    本文项目编号T159,文末自助获取源码\color{red}{T159,文末自助获取源码}......