• 注册
  • 威胁情报 威胁情报 关注:45 内容:46

    应急响应介绍

  • 查看作者
  • 打赏作者
    • 威胁情报
    • 作为安全人员,被入侵后的应急响应是非常重要的一个环节,那么如何进行应急响应,则是安全人员应该学习的地方。本文就将带领大家学习入侵响应的基本知识。

      安全事件分类

      1. Web入侵:挂马、篡改、Webshell

      2. 系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞

      3. 病毒木马:远控、后门、勒索软件

      4. 信息泄漏:脱裤、数据库登录(弱口令)

      5. 网络流量:频繁发包、批量请求、DDOS攻击

      首先是对入侵的安全事件进行分类,确认安全事件属于哪类入侵,然后用相应的方法应急。

      安全事件分级

      I 级事件 -- 特别重大突发事件

      1. 网络大面积中断

      2. 主要业务大规模瘫痪

      3. 大规模用户/业务数据泄漏

      II 级事件 -- 重大突发事件

      1. 大规模主机入侵

      2. 大规模业务数据损坏

      3. 小规模数据泄漏

      4. 政治敏感事件:官网挂黑页

      III 级事件 -- 较大突发事件

      1. 部分业务系统遭受入侵

      2. 主要业务遭受DDOS

      IV 级事件 -- 一般突发事件

      1. 部分业务系统宕机

      2. 部分业务系统异常/无法访问

      通过对安全事件的定级,确认属于什么级别的事故,采取相应的应急预案和紧急程度的确认。

      安全响应执行流程

      1. 事件发生(运维监控人员、客服审核人员等),发现问题的开始,及时通报

      2. 事件确认:判断事件的严重性,评估出问题的严重等级,是否向上进行汇报等

      3. 事件响应:各部门通力合作,处理安全问题,具体解决阶段

      4. 事件关闭:处理完事件之后,需要关闭事件,并写出安全应急处理分析报告,完成整个应急过程

      被入侵的主机排查流程

      1. 定位被入侵的主机并且立即对该主机进行断网隔离

      2. 确定攻击类型

      3. 确定被入侵的时间范围

      4. 定位恶意文件和入侵痕迹

      5. 溯源入侵来源

      6. 清理恶意文件/修复漏洞

      7. 事件复盘

      其实这是web安全工作人员最常见的排查流程,因为例如ddos这类的事件可能托管在运维侧,而安全工程师常常是应急网站被入侵后的安全事件。

      被入侵的主机排查方法

      1.检测补丁情况:看看有没有打了最新的补丁,看看是不是用漏洞搞进来的

      • systeminfo | uname -a

       2.日志分析:定位入侵路线,是系统配置出了问题(ssh 弱口令,域管理员hash 泄漏)还是WEB 服务出了问题(传马,WEB 漏洞利用)

      • eventvwr  |  /var/log  ,  .bash_history

      • access.log  mysql_log.log

       3.账户信息:先看看是不是帐户有弱口令,再看看用户的登录时间,也观察一下有没有给留后门账户

      • quser  |  who  last

       4.进程分析:定位一下看看有没有运行恶意进程

      • procxp  ,  pchunter  |  ps -aux  ,  chkrootkit  ,  rkhunter

       5.文件分析:找找Shell 和后门,看看这个是什么样的Shell

      • lchangedfiles  |  find / -ctime -1 -print

       6.系统分析:计划任务,自启动服务等
      Linux :

      • history (cat /root/.bash_history)          查看执行过的命令,排查和溯源

      • /etc/passwd                                分析用户

      • awk -F: '{if($3==0)print $1}' /etc/passwd  查看UID 为0 的帐号

      • cat /etc/passwd | grep -E "/bin/bash$"     查看可以登录的帐号

      • crontab  /etc/cron*                        查看计划任务

      • rc.local  /etc/init.d chkconfig            查看Linux 自启动程序

      • last                                       查看最近用户登录信息

      • lastb                                      查看最近用户登录错误信息

      • $PATH                                      系统路径环境变量

      • strings                                    提取字符串

      Windows :

      • 查看系统变量

      • Windows 计划任务

      • Windows 帐号信息

      • SAM 文件

      • Windows-Exploit-Suggester

      原文链接: 链接
      作者:he1m4n6a

      请登录之后再进行评论

      登录
    • 发表内容
    • 做任务
    • 实时动态
    • 偏好设置
    • 帖子间隔 侧栏位置: