| 关联规则 | 关联知识 | 关联工具 | 关联文档 | 关联抓包 |
| 参考1(官网) | |
| 参考2 | |
| 参考3 |
[SAFE-ID: JIWO-2024-3150] 作者: 小螺号 发表于: [2022-07-29]
本文共 [202] 位读者顶过
应急响应的概括:
应急响应”对应的英文是“Incident Response”或“Emergency Response”等,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措.[出自:jiwo.org]
网络安全应急响应:针对已经发生的或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全.
应急响应阶段:
保护阶段:断网,备份重要文件(防止攻击者,这些期间删除文件重要文件.)
分析阶段:分析攻击行为,找出相应的漏洞.
复现阶段:复现攻击者攻击的过程,有利于了解当前环境的安全问题和安全检测.
修复阶段:对相应的漏洞提出修复.
建议阶段:对漏洞和安全问题提出合理解决方案.
目的:分析出攻击时间,攻击操作,攻击后果,安全修复等并给出合理解决方案.
操作系统(windows 和 linux)应急响应:
(1)常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC木马等),病毒感染(挖矿,蠕 虫,勒索等)
(2)常见分析:计算机账户,端口,进程,网络,启动,服务,任务,文件等安全问题.
常见日志类别及存储:
(1)Windows系统:(2)Linux系统:
工具下载 链接:https://pan.baidu.com/s/1N67KmETtTmMOSrG-l0-iDA
提取码:tian
应急响应 Windows和Linux操作系统步骤:
系统日志分析 :
(1)应用程序事件日志.
(2)系统事件日志.
Linux系统日志.
/var/log/ //日志的位置.
(1)统计了下日志,确认服务器遭受多少次暴力破解.
grep -o "Failed password" /var/log/secure|uniq -c
(2)输出登录爆破的第一行和最后一行,确认爆破时间范围.
grep "Failed password" /var/log/secure|head -1
grep "Failed password" /var/log/secure|tail -1
(3)进一步定位有哪些 IP 在爆破.
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr
(4)爆破用户名字典都有哪些.
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
(5)登录成功的日期、用户名、IP.
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
查找 后门木马:
查看进程(PCHunter)
Windows查杀木马:
大家可以下载一些安全软件进行扫描和查杀.
火绒安全软件:火绒安全
电脑管家:一键杀毒_盗号保护_垃圾清理_软件管理-腾讯电脑管家官网
Linux主机排查:
cd GScan-master //下载工具,然后切换工具目录.
python GScan.py --sug --pro //检测木马
Linux查杀木马.(Clamav)
apt update
apt install clamav-daemon -y //下载clamav杀毒.
freshclam //更新病毒库
clamscan -r -i /root -l /root/clamav.log //-r扫描目录,-i只显示被感染的文件,-l是保存的日志文件.
处理 勒索病毒.
勒索病毒分析:深信服EDR
勒索软件在线下载的解密工具:免费勒索软件解密工具 | 解锁您的文件 | Avast
收集的勒索软件解密工具:
应急响应”对应的英文是“Incident Response”或“Emergency Response”等,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措.[出自:jiwo.org]
网络安全应急响应:针对已经发生的或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全.
应急响应阶段:
保护阶段:断网,备份重要文件(防止攻击者,这些期间删除文件重要文件.)
分析阶段:分析攻击行为,找出相应的漏洞.
复现阶段:复现攻击者攻击的过程,有利于了解当前环境的安全问题和安全检测.
修复阶段:对相应的漏洞提出修复.
建议阶段:对漏洞和安全问题提出合理解决方案.
目的:分析出攻击时间,攻击操作,攻击后果,安全修复等并给出合理解决方案.
操作系统(windows 和 linux)应急响应:
(1)常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC木马等),病毒感染(挖矿,蠕 虫,勒索等)
(2)常见分析:计算机账户,端口,进程,网络,启动,服务,任务,文件等安全问题.
常见日志类别及存储:
(1)Windows系统:(2)Linux系统:
工具下载 链接:https://pan.baidu.com/s/1N67KmETtTmMOSrG-l0-iDA
提取码:tian
应急响应 Windows和Linux操作系统步骤:
系统日志分析 :
安装 LogFusion 工具.(Windows系统日志)
(1)应用程序事件日志.
(2)系统事件日志.
Linux系统日志.
/var/log/ //日志的位置.
(1)统计了下日志,确认服务器遭受多少次暴力破解.
grep -o "Failed password" /var/log/secure|uniq -c
(2)输出登录爆破的第一行和最后一行,确认爆破时间范围.
grep "Failed password" /var/log/secure|head -1
grep "Failed password" /var/log/secure|tail -1
(3)进一步定位有哪些 IP 在爆破.
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr
(4)爆破用户名字典都有哪些.
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
(5)登录成功的日期、用户名、IP.
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
查找 后门木马:
查看进程(PCHunter)
Windows查杀木马:
大家可以下载一些安全软件进行扫描和查杀.
火绒安全软件:火绒安全
电脑管家:一键杀毒_盗号保护_垃圾清理_软件管理-腾讯电脑管家官网
Linux主机排查:
cd GScan-master //下载工具,然后切换工具目录.
python GScan.py --sug --pro //检测木马
Linux查杀木马.(Clamav)
apt update
apt install clamav-daemon -y //下载clamav杀毒.
freshclam //更新病毒库
clamscan -r -i /root -l /root/clamav.log //-r扫描目录,-i只显示被感染的文件,-l是保存的日志文件.
处理 勒索病毒.
勒索病毒分析:深信服EDR
勒索软件在线下载的解密工具:免费勒索软件解密工具 | 解锁您的文件 | Avast
收集的勒索软件解密工具:
