7.11. 应急响应

7.11. 应急响应

7.11.1. 响应流程

7.11.1.1. 事件发生

运维监控人员、客服审核人员等发现问题,向上通报

7.11.1.2. 事件确认

判断事件的严重性,评估出问题的严重等级,是否向上进行汇报等

7.11.1.3. 事件响应

各部门通力合作,处理安全问题,具体解决阶段

7.11.1.4. 事件关闭

处理完事件之后,需要关闭事件,并写出安全应急处理分析报告,完成整个应急过程。

7.11.2. 事件分类

  • 病毒、木马、蠕虫事件

  • Web服务器入侵事件

  • 第三方服务入侵事件

  • 系统入侵事件

    • 利用Windows漏洞攻击操作系统
  • 网络攻击事件

    • DDoS / ARP欺骗 / DNS劫持等

7.11.3. 分析方向

7.11.3.1. 文件分析

  • 基于变化的分析

    • 日期
    • 文件增改
    • 最近使用文件
  • 源码分析

    • 检查源码改动
    • 查杀WebShell等后门
  • 系统日志分析

  • 应用日志分析

    • 分析User-Agent,e.g. awvs / burpsuite / w3af / nessus / openvas
    • 对每种攻击进行关键字匹配,e.g. select/alert/eval
    • 异常请求,连续的404或者500
  • md5sum 检查常用命令二进制文件的哈希,检查是否被植入rootkit

7.11.3.2. 进程分析

  • 符合以下特征的进程

    • CPU或内存资源占用长时间过高
    • 没有签名验证信息
    • 没有描述信息的进程
    • 进程的路径不合法
  • dump系统内存进行分析

7.11.3.3. 网络分析

  • 防火墙配置
  • DNS配置
  • 路由配置
  • 监听端口

7.11.3.4. 配置分析

  • 查看Linux SE等配置
  • 查看环境变量
  • 查看配套的注册表信息检索,SAM文件
  • 内核模块

7.11.4. Linux应急响应

7.11.4.1. 文件分析

  • 最近使用文件

    • find / -ctime -2
    • C:Documents and SettingsAdministratorRecent
    • C:Documents and SettingsDefault UserRecent
    • %UserProfile%Recent
  • 系统日志分析

    • /var/log/
  • 重点分析位置

    • /var/log/wtmp登录进入,退出,数据交换、关机和重启纪录
    • /var/run/utmp有关当前登录用户的信息记录
    • /var/log/lastlog文件记录用户最后登录的信息,可用 lastlog 命令来查看。
    • /var/log/secure记录登入系统存取数据的文件,例如 pop3/ssh/telnet/ftp
    • 等都会被记录。
    • /var/log/cron与定时任务相关的日志信息
    • /var/log/message系统启动后的信息和错误日志
    • /var/log/apache2/access.log apache access log
    • /etc/passwd 用户列表
    • /etc/init.d/开机启动项
    • /etc/cron*定时任务
    • /tmp临时目录
    • ~/.ssh

7.11.4.2. 用户分析

  • /etc/shadow密码登陆相关信息
  • uptime查看用户登陆时间
  • /etc/sudoers sudo用户列表

7.11.4.3. 进程分析

  • netstat -ano 查看是否打开了可疑端口

  • w命令,查看用户及其进程

  • 分析开机自启程序/脚本

    • /etc/init.d
    • ~/.bashrc

    查看计划或定时任务

    • crontab -l
  • netstat -an / lsof查看进程端口占用

7.11.5. Windows应急响应

7.11.5.1. 文件分析

  • 最近使用文件

    • C:Documents and SettingsAdministratorRecent
    • C:Documents and SettingsDefault UserRecent
    • %UserProfile%Recent
  • 系统日志分析

    • 事件查看器 eventvwr.msc

7.11.5.2. 用户分析

  • 查看是否有新增用户
  • 查看服务器是否有弱口令
  • 查看管理员对应键值
  • lusrmgr.msc 查看账户变化
  • net user列出当前登录账户
  • wmic UserAccount get 列出当前系统所有账户

7.11.5.3. 进程分析

  • netstat -ano 查看是否打开了可疑端口

  • tasklist 查看是否有可疑进程

  • 分析开机自启程序

    • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
    • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce
    • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
    • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
    • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionpoliciesExplorerRun
    • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
    • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
    • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices
    • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
    • (ProfilePath)Start MenuProgramsStartup 启动项
    • msconfig启动选项卡
    • gpedit.msc组策略编辑器
  • 查看计划或定时任务

    • C:WindowsSystem32Tasks
    • C:WindowsSysWOW64Tasks
    • C:Windowstasks
    • schtasks
    • taskschd.msc
    • compmgmt.msc
  • 查看启动服务

    • services.msc

7.11.5.4. 日志分析

  • 事件查看
    • `eventvwr.msc

7.11.5.5. 其他

  • 查看系统环境变量

7.11.6. 参考链接


上一篇: 下一篇:

区块链毕设网(www.qklbishe.com)全网最靠谱的原创区块链毕设代做网站
部分资料来自网络,侵权联系删除!
资源收费仅为搬运整理打赏费用,用户自愿支付 !
qklbishe.com区块链毕设代做网专注|以太坊fabric-计算机|java|毕业设计|代做平台 » 7.11. 应急响应

提供最优质的资源集合

立即查看 了解详情