黑客入侵应急排查思路流程.docx

黑客入侵应急排查思路流程 一、 事件分类 常见的安全事件： 1.Web入侵：挂马、篡改、Webshell 2.系统入侵：系统异常、RDP爆破、SSH爆破、主机漏洞 3.病毒木马：远控、后门、勒索软件 4.信息泄漏：拖裤、数据库登录（弱口令） 5.网络流量：频繁发包、批量请求、DDOS攻击 二、排查思路 一个常规的入侵事件后的系统排查思路： 文件分析 ??a)?文件日期、新增文件、可疑/异常文件、最近使用文件、浏览器下载文件 ??b)?Webshell?排查与分析 ??c)?核心应用关联目录文件分析 进程分析 ??a)?当前活动进程??远程连接 ??b)?启动进程计划任务 ??c)?进程工具分析 ??????i.?Windows:Pchunter ??????ii.?Linux:?ChkrootkitRkhunter 系统信息 ??a)?环境变量 ??b)?帐号信息 ??c)?History ??d)?系统配置文件 日志分析 ??a)?操作系统日志 ??????i.?Windows:?事件查看器（eventvwr） ??????ii.?Linux:?/var/log/ ??b)?应用日志分析 ??????i.?Access.log ??????ii.?Error.log 三、?分析排查 3.1?Linux系列分析排查 3.1.1?文件分析 敏感目录的文件分析（类/tmp目录，命令目录/usr/bin?/usr/sbin） ??例如: ??查看tmp目录下的文件：?ls?–alt?/tmp/ ??查看开机启动项内容：ls?-alt?/etc/init.d/ ??查看指定目录下文件时间的排序：ls??-alt??|?head?-n?10 ??针对可疑文件可以使用stat进行创建修改时间、访问时间的详细查看，若修改时间距离事件日期接近，有线性关联，说明可能被篡改或者其他。 新增文件分析 ??例如要查找24小时内被修改的JSP文件：?find?./?-mtime?0?-name?*.jsp ??（最后一次修改发生在距离当前时间n24小时至(n+1)24?小时） ??查找72小时内新增的文件find?/?-ctime?-2 ??PS：-ctime?内容未改变权限改变时候也可以查出 ??根据确定时间去反推变更的文件 ??ls?-al?/tmp?|?grep?Feb?27 特殊权限的文件 ??查找777的权限的文件???find??/??*.jsp??-perm?4777 ? 隐藏的文件（以?.开头的具有隐藏属性的文件） 在文件分析过程中，手工排查频率较高的命令是?find?grep?ls?核心目的是为了关联推理出可疑文件。 3.1.2?进程命令 使用netstat?网络连接命令，分析可疑端口、可疑IP、可疑PID及程序进程 ???netstat?–antlp?|?more 使用ps命令，分析进程 ps?aux?|?grep?pid?|?grep?–v?grep? 将netstat与ps?结合，可参考vinc牛的案例： （可以使用lsof?-i:1677?查看指定端口对应的程序） 使用ls?以及?stat?查看系统命令是否被替换。 ??两种思路：第一种查看命令目录最近的时间排序，第二种根据确定时间去匹配。 ??ls?-alt?/usr/bin???|?head?-10 ??ls?-al?/bin?/usr/bin?/usr/sbin/?/sbin/?|?grep?Jan?15 PS：如果日期数字10，中间需要两个空格。比如1月1日，grep?“Jan??1” 隐藏进程查看 ps?-ef?|?awk?{print}?|?sort?-n?|?uniq?1ls?/proc?|?sort?-n?|uniq?2diff?1?2 3.1.3?系统信息 history?(cat?/root/.bash_history)/etc/passwdcrontab??/etc/cron*rc.local??/etc/init.d?chkconfiglast$PATHstrings 查看分析history?(cat?/root/.bash_history)，曾经的命令操作痕迹，以便进一步排查溯源。运气好有可能通过记录关联到如下信息： ???a)?wget?远程某主机（域名IP）的远控文件； ???b)?尝试连接内网某主机（ssh?scp），便于分析攻击者意图; ???c)?打包某敏感数据或代码，tar?zip?类命令 ???d)?对系统进行配置，包括命令修改、远控木马类，可找到攻击者关联信息… 查看分析用户相关分析 ??a)?useradd?userdel?的命令时间变化（stat），以及是否包含可疑信息 ??b)?cat?/etc/passwd?分析