应急响应排查之内网事件排查

释放双眼,带上耳机,听听看~!

0x01 写在前面

       今年有幸参加了HW行动,作为防守方,在此期间也遇到了许多应急响应的状况,经历了不少次的排查。其中也有一些内网间攻击的迹象。而在众多攻击中,一旦存在了确定性的内网攻击,就说明了存在内网服务器的沦陷。因此对内网事件的排查也尤为重要。

      这篇文章就着重讲解内网事件排查的流程,以及排查的方法。其中以Linux主机为例进行讲解。


0x02 排查流程及常用命令:

    1.首先要了解攻击IP与被攻击IP所属业务系统,其次了解被攻击IP所提供的服务。由于绝大多数的攻击是被防火墙截获并记录的,所以存在一定可能性,在攻击IP与被攻击IP的正常业务数据交换中被截获并误报为攻击行为。


    2.查看攻击IP

    2.1  查看历史命令,防止新输入的命令覆盖了历史命令:

用到的命令有:

history

cat.bash_history


    2.2  查看网络连接状态

netstat-antlp | grep ESTABLISH

辅助命令:查看pid对应的进程路径、进程名字

cd/proc/pid

ll-ail

根据端口查看进程:

lsof-i:port


    2.3  查看是否存在异常进程

ps-aux | head -n6

   

    2.4  查看是否存在异常计划任务

crontab-l

  

    2.5  日志分析

        2.5.1   定位有多少IP在爆破主机的ROOT账户

grep”Failed password for root” /var/log/secure | awk ‘{print $11}’ | sort| uniq -c | sort -nr | more

        2.5.2   爆破成功的IP有哪些

grep”Accepted ” /var/log/secure | awk ‘{print $11}’ | sort | uniq -c |sort -nr | more

        2.5.3   登录日志信息

last

单独执行last指令时,它会读取位于/var/log/wtmp的文件,并把该给文件的内容记录的登录系统的用户名单全部显示出来。

    2.5.4   登录错误日志

lastb

单独执行lastb指令,它会读取位于/var/log/btmp的文件,并把该文件内容记录的登入系统失败的用户名单,全部显示出来。

    2.5.5   查看某用户登录信息

lastlog-u uid

    2.5.6   查看当前登录用户信息

who


    2.6  用户分析

查看是否有新增用户,权限异常 

cat/etc/passwdcat/etc/shadow  分析

cat/etc/passwd | grep -E “/bin/bash$” 能登陆的账号 —–是否正常

UID为0的帐号:

awk -F:'{if($3==0)print $1}’ /etc/passwd  —-是否正常

    

    2.7  文件分析

        2.7.1 针对可疑文件进行分析:

stat FileName

其中(atime 访问时间;mtime 文件修改时间;ctime 元数据(文件大小,所以经常修改文件后mtime\ctime都会变动)、权限、所有者修改时间)

    2.7.2 24小时内被修改的JSP文件:

                find ./-mtime 0 -name “*.jsp”

    2.7.3 查找777的权限的文件:

               find / *.jsp-perm 4777

    2.7.4查找72小时内新增的文件

                find  / -ctime -2

    2.7.5根据确定时间去反推变更的文件:

ls -al /tmp| grep “Feb 27”

本文源自微信公众号:弥天安全实验室

人已赞赏
安全工具

文件包含漏洞(下)

2019-10-18 16:55:29

安全工具

CVE-2019-0708漏洞复现(EXP利用)

2019-10-18 16:55:33

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索