应急响应排查思路

本文阅读 3 分钟
首页 安全分享,WEB安全 正文

应急响应是指客户的机器遭到非法入侵后采取一系列措施,从而将损失降到最小

应急响应的排查思路主要有

  1. 系统账号
  2. 启动项
  3. 计划任务
  4. 进程
  5. 网络连接
  6. 分析文件
  7. 日志分析

Linux应急响应

系统账号

查看/etc/passwd文件,是否有可疑的账户

last命令查看用户的登录信息

启动项

检查启动项中是否存在异常任务,Linux的启动项在/etc/rc.rocal文件和/etc/rc.d/目录下

计划任务

检查计划任务中是否有异常的任务,Linux系统的计划任务保存在/var/spool/cron/目录下,以用户名命名

crontab -l        -- 查看计划任务

crontab -e        -- 编辑计划任务

进程

ps -aux查看进程信息,检查是否存在恶意进程

  • -a    显示所有进程
  • -u    显示用户名
  • -x    显示完整信息

网络连接

netstat -antlp查看网络连接,检查是否存在可疑的网络连接

  • -a    显示所有选项
  • -n    显示数字信息
  • -t    显示tcp连接
  • -l    显示监听状态的链接
  • -p    显示相关的程序名

分析文件

检查近期创建或修改的文件,分析可疑的文件

find / -mtime -1        根目录范围下,搜索1天内修改过的文件

  • /        查找的范围(路径)
  • -ctime    按照文件创建时间搜索(-n指n天内,+n指n天前)
  • -mtime    根据文件更改时间搜索(-n指n天内,+n指n天前)
  • -atime    根据文件访问时间搜索(-n指n天内,+n指n天前)
  • -perm    根据权限查找    find -perm 777

Windows应急响应

系统账号

net user    -- 查看系统账号

启动项

win+r打开运行窗口,输入shell:startup,检查开机启动项

计划任务

cmd输入taskschd.msc,检查计划任务,或者schtasks命令查看计划任务

进程

tasklist    -- 查看进程

taskkill    -- 结束进程

netstat -ano    -- 查看网络连接

  • -a        显示所有端口
  • -n        数字形式显示
  • -o        显示关联的进程ID

shift粘滞键后门

按下5次shift键,检查弹出来的是不是系统的粘滞键

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/wangyuxiang946/article/details/119276979
-- 展开阅读全文 --
BUUCTF Web [极客大挑战 2019]Knife
« 上一篇 06-24
安全面试之XSS(跨站脚本攻击)
下一篇 » 07-24

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复