[出自:jiwo.org]

1.响应、保护：

查看事件类型、保护第一现场、了解情况（什么操作系统、之前有没有类似的状况）

2.阻断：

切断网络、阻断传播、隔离核心资产

3.分析排查：

(1)痕迹分析：

日志、流量、样本

(2)行为分析：

试着还原攻击流程

(3)对已知漏洞排查

(4)查看系统基本信息：

windows查看补丁信息、linux查看系统arp表uname -a

(5)异常连接排查：

Windows下用netstat -ano|findstr ESTABLISH查看可疑的进程；Linux下用lsof -i列出所有的tcp和udp进程，列出所有的端口及进程用netstat -antlp

(6)异常进程排查：

windows：命令tasklist|findstr列出本地或计算机上所有进程，再用wmic process|findstr “”查看进程路径；linux用ps -aux显示进程相关信息，用top显示内存和cpu，对某个进程进行查找ps -ef|grep

Linux查看隐藏进程 : ps -ef 、top -a、losf -i

(7)异常账号排查：

windows下用lusrmgr.msc显示用户组和账户；linux用w查看utmp日志，last查看历史登录记录，lastlog查看用户最后登录时间，lastb显示用户错误登录记录，删除用户

usermod -L user

utmp：记录有关当前登录进入系统的各个用户的信息。

w命令用来查询utmp文件并显示当前系统中每个用户和它所运行的进程信息；

wtmp：登录、退出的记录。

执行last命令可以往回搜索wtmp来显示自从文件第一次创建以来登录过的用户

/etc/passwd 存账户信息一般不存密码 、 包含系统用户和用户的主要信息

/etc/shadow 用于储存系统中用户的密码，又称为影子文件

(8)异常文件分析：

windows：%UserProfile%Recent查看recent相关文件，分析最近被打开的可疑文件；

linux：stat etc/passwd分析文件日期，find ./ mtime 0 -name “*.php" 查看24小时内的被修改的php文件，ls -alt /tmp/查看敏感目录文件

(9)启动项排查:

windows:msconfig查看启动项

linux：more /etc/rc.local文件

(10)计划任务

windows：taskschd.msc查看计算任务

linux：crontab -l

(11)日志排查

linux下的ssh日志查看/var/log/sshd.log

(11)日志排查

linux下的ssh日志查看/var/log/sshd.log

/var/log/secure — 包含验证和授权方面信息。例如，sshd会将所有信息记录（其中包括失败登录）在这里

1. /var/log/messages — 包括整体系统信息，其中也包含系统启动期间的日志。此外，mail，cron，daemon，kern和auth等内容也记录在var/log/messages日志中

2. /var/log/dmesg — 包含内核缓冲信息（kernel ring buffer）。在系统启动时，会在屏幕上显示许多与硬件有关的信息。可以用dmesg查看它们。

4. /var/log/boot.log — 包含系统启动时的日志

5. /var/log/daemon.log — 包含各种系统后台守护进程日志信息。

6. /var/log/dpkg.log – 包括安装或dpkg命令清除软件包的日志。

7. /var/log/kern.log – 包含内核产生的日志，有助于在定制内核时解决问题。

8. /var/log/lastlog — 记录所有用户的最近信息。这不是一个ASCII文件，因此需要用lastlog命令查看内容

9. /var/log/maillog /var/log/mail.log — 包含来着系统运行电子邮件服务器的日志信息

0. /var/log/user.log — 记录所有等级用户信息的日志。

11. /var/log/Xorg.x.log — 来自X的日志信息。

12. /var/log/alternatives.log – 更新替代信息都记录在这个文件中。

13. /var/log/btmp – 记录所有失败登录信息。使用last命令可以查看btmp文件。例如，”last -f /var/log/btmp | more“。

14. /var/log/cups — 涉及所有打印信息的日志。

15. /var/log/anaconda.log — 在安装Linux时，所有安装信息都储存在这个文件中

16. /var/log/yum.log — 包含使用yum安装的软件包信息

17. /var/log/cron — 每当cron进程开始一个工作时，就会将相关信息记录在这个文件中

18. /var/log/secure — 包含验证和授权方面信息

19. /var/log/wtmp或/var/log/utmp — 包含登录信息。使用wtmp可以找出谁正在登陆进入系统，谁使用命令显示这个文件或信息等。

20. /var/log/faillog – 包含用户登录失败信息

/var/log/lighttpd/ — 包含light HTTPD的access_log和error_log。

/var/log/mail/ – 这个子目录包含邮件服务器的额外日志。

/var/log/prelink/ — 包含.so文件被prelink修改的信息。

/var/log/audit/ — 包含被 Linux audit daemon储存的信息。

/var/log/samba/ – 包含由samba存储的信息。

/var/log/sa/ — 包含每日由sysstat软件包收集的sar文件。

/var/log/sssd/ – 用于守护进程安全服务

4.清除

5.加固

常见病毒的应急响应

蠕虫病毒：

定义：一种自包含的程序，每入侵到新的计算机就会进行复制自身并执行

特点：服务器不断向外网发起主动连接等

应急响应：

1.将感染病毒的主机从内网隔离

2.使用D盾协助查杀端口连接情况，通过端口异常跟踪进程ID

3.全盘扫描，定位异常文件

4.使用多引擎在线病毒对异常文件扫描，查看感染哪种蠕虫病毒

5.关闭异常端口、清除文件、使用专用病毒工具对服务器进行清查

网页篡改：

类型：明显篡改、隐藏式

原理：明显的网页篡改即攻击者可炫耀自己的技术技巧，或表明自己的观点，如之前的某中学官网被黑事件；隐藏式篡改一般是将被攻击网站的网页植入链接色情、诈骗等非法信息的链接中，以通过灰黑色产业牟取非法经济利益。

应急响应：

1.查找近段时间内被篡改的文件或者新增的文件，查看被篡改文件或新增文件的最后修改时间，确定是否为自己修改或新增

2.打开被篡改的文件，检查里面有无新增恶意代码或被篡改了其他内容

3.如果被篡改文件没被修改，就说明可能被篡改的内容被注入数据库中，网站有注入漏洞，先把注入漏洞补上，在把被注入到数据库的内容清除

勒索病毒：[出自:jiwo.org]

原理：勒索病毒，是一种伴随数字货币兴起的病毒木马，主要以邮件、程序木马、网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密，勒索病毒一般利用非对称加密算法和对称加密算法组合的形式对受害者文件进行加密。

特点：中毒的业务系统无法访问、文件后缀被篡改、勒索信展示等

应急响应：

1.隔离被感染的服务器/主机

2.排查业务系统

3.利用留下的勒索信息，确定勒索病毒的种类，再进行溯源分析

4.处置勒索病毒：

1.异常文件检查并清除

2.补丁检查，没补丁打补丁

3.对账号进行排查，删除可疑账号

4.异常进程、连接排查，杀掉可疑进程，断开异常连接

5.计划任务排查

6.对网络流量进行排查

5.清除加固加安全设备

挖矿病毒：

特点：利用感染主机与挖矿域名连接进行挖矿，感染主机出现主机卡顿和CPU占用高等现象

应急响应：

1.隔离主机，阻断传播

2. top命令查看CPU占用 ，查看CPU占用较高的进程

3. 通过PID获得对应进程目录和进程， 定位进程目录或文件

4. 通过沙箱分析文件，确定病毒种类和病毒行为

5.对异常文件进行分析

6. 排查计划任务

7. 排查ssh公钥

8. 通过/etc/rc.local排查主机启动项

9.排查账户

10. 查看主机日志

11. 查看定时任务

12.清除加固

0day排查并获取漏洞pork

首先，需要了解0day漏洞的定义和特征。0day漏洞是指尚未公开或被修复的安全漏洞，因此攻击者可以利用这些漏洞来进行攻击。通常情况下，0day攻击会产生异常流量。

以下是排查0day流量的步骤：

1. 使用网络监控工具：使用网络监控工具（如Wireshark、TCPDump等）来捕获网络流量，并检查是否有异常流量或未知协议。

2. 分析可疑IP地址：分析可疑IP地址并确定其来源。如果这些IP地址不是您公司的合法用户或服务，则可能存在恶意行为。

3. 检查应用程序日志：检查应用程序日志以获取有关任何异常活动的信息。例如，是否有大量错误登录尝试、SQL注入尝试等。

4. 分析系统文件：分析系统文件以确定是否存在任何未知文件、非法访问等迹象。

5. 升级补丁和更新软件版本：定期升级

钓鱼邮件应急响应

1.发现为钓鱼邮件的话，先对钓鱼邮件进行隔离，避免错误操作或者传播

2.如果点击了钓鱼邮件里的链接的话，将受害主机进行断网关机处理，如果有主机安全管理设备，对所有主机资产进行病毒查杀，对系统和安全设备进行安全扫描

3.如果有人在钓鱼邮件里提交了密码之类的敏感信息，立刻提醒并修改密码

4.对账号活动进行排查，定期监控账号活动，如果有账号进行异常活动，立即对该账号进行关闭或冻住

5.更新安全软件和系统：确保你的操作系统、防病病毒软件和防火墙等安全软件处于最新状态，以得到最新的安全完全保护和漏洞修复。

6.检查安全措施：检查你的组织的安全措施，包括邮件过滤、反钓鱼培训和安全策略等。确保它们是有效的并能足够防范范未来的钓鱼攻击