勒索病毒应急处置流程.pdfVIP

勒勒索索病病毒毒应应急急处处置置流流程程 勒索病毒应急处置流程 1.事件状态判断 了解现状，了解发病时间，了解系统架构 确认被感 主机范围 2.临时处置 已感 主机：进⾏⽹络隔离，禁⽌使⽤U盘、移动银盘等移动存储设备 未感 主机：ACL隔离、关闭ssh、rdp等协议，禁⽌使⽤U盘、移动硬盘。 3.信息收集分析 样本获取 w indows ： ⽂件排查： msconfig查看启动项 %UserProfile%\Recent查看最近使⽤的的⽂档 进程排查 netstat -ano查看⽹络连接、定位可疑的 STABLISH D tasklist | findstr 1228 根据netstat定位出的pid,在通过tasklist进⾏进程定位 w mic process | findstr vmvare-hostd.exe 获取进程全路径 系统信息排查 查看环境变量设置 w indows计划任务 （程序-附件-系统⼯具-任务计划程序） w indows账号信息，如隐藏账号等 （compmgmt.msc）⽤户名以$结尾的为隐藏⽤户 查看当前系统⽤户的会话query user,logoff踢出该⽤户 查看systeminfo信息，系统版本以及补丁信息 ⼯具排查 PC Hunter 信息信息查看 Process xplorer 系统和应⽤程序监视够⼯具 Network Monitor ⽹络协议分析 ⽇志排查 （计算机管理-事件查看器 eventvw r） ⽇志类型： 应⽤程序⽇志 （应⽤程序⽇常使⽤记录） 系统安全⽇志 （谁，使⽤什么权限、⼲了什么事） setup ：软件安装、更新安装 系统⽇志：组策略更改等系统敏感操作 forwarded- vents ：暂⽆⽇志信息 主要分析安全⽇志，借助⾃带的筛选和查找功能，将帅选⽇志导出使⽤notepad++打开 使⽤正则去匹配远程登录过的IP地址 ((?:(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))).){3}(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d)))) linux ⽂件排查 使⽤stat命令： access time访问时间 modify time内容修改时间 （⿊客通过菜⼑类⼯具改变的是修改时间，所以如果修改时间在创建时间之前明显是可以⽂件） change time属性改变时间 1.敏感⽬录⽂件分析[类/tmp ⽬录、命令⽬录/usr/bin、/usr/sbin] ls -a 查看隐藏⽂件和⽬录 2.查看tmp ⽬录下的⽂件 ls -alt /tmp [-t 按更改时间排序] 3.查看看机启动项 ls -alt /etc/init.d ,/etc/init.d是/etc/rc.d/init.d的软链接 4.按时间排序查看指定⽬录下的⽂件 ls -alt | head -n 10 5.查看历史命令记录⽂件 cat /root/.bash_ history | more 6.查看操作系统⽤户信息⽂件/etc/passwd root:x :0:0:root:/root:/bin/bash [⽤户名:⼝令:⽤户标识:组标识:注释性描述:主⽬录:登录shell] 7.查找新增⽂件 查找24⼩时内被修改的php⽂件find ./ -mtime 0 -name *.php 查找72⼩时内新增的⽂件 find / -ctime 2 -mtime -n +n 按更改时间查找 -n n天以内 +n n天以前 -atime -n +n 按访问时间查找 -n n天以内 +n n天以前 -ctime -n +n 按创建时间查找 -n n天以内 +n n天以前 8.特殊权限⽂件查看 查找777权限的⽂件 find / *.php -perm 4777 9.隐藏的⽂件 ls -ar | grep ^\. 10.查看分析任务计划 crontab -u -l、-r、-e -u 指定⽤户 -l 列出某⽤户任务计划 -r 删除任务 -e 编辑某个⽤户的任务 （也可以直接修改/etc/crontab⽂件） 进程排查 1.使⽤netstat -anptl/-pantu | more 查看⽹络连接状况 2.根据netstat 定位出的可疑pid ，使⽤ps命令、分析进程 ps aux | grep pid | grep -v grep ⽇志排查 1.查看系统⽤户登录信息 lastlog ，查看系统中所有⽤户最近⼀次登录的信息 l