哈尔滨网站提升排名,如何做一个内部网站,找建筑工程平台,远程wordpress数据库备份最重要的#xff1a;我是谁#xff1f;我在哪#xff1f;别人怎么进来的#xff1f;我就是这个被挖矿被勒索的电脑。
分析项 #xff1a;
一、了解大概的被入侵系统情况#xff1a;
发现时间#xff1f;怎么发现的#xff1f;这台机器有没有人运维#xff1f;平时还…最重要的我是谁我在哪别人怎么进来的我就是这个被挖矿被勒索的电脑。
分析项
一、了解大概的被入侵系统情况
发现时间怎么发现的这台机器有没有人运维平时还有哪些人在用有没有公网ip挖矿还是勒索内外网是内网还是外网还是办公网或者设备网段等等 服务器是windows 还是linux 几台 服务是什么服务web服务还是数据库还是设备服务器还是个人pc
二、入侵现场
主要看异常现象网络流量、异常端口、cpu、内存 网络状态 进程信息 分析恶意程序
攻击维持查看历史命令 查看linux账户 开机启动 定时任务、内核驱动、ssh排查
入侵原因 弱密码、默认密码、系统漏洞、web漏洞、数据库漏洞
查看日志
查看ssh登录记录 less /var/log/secure | grep Accepted
恶意进程关联 大多数情况恶意进程的父进程都是1而有些情况下恶意进程的父进程可能不是1比如父进程是httpd这种情况下就可以大胆猜测攻击者是通过利用父进程的漏洞达成攻击。 通过命令ps -ef 查看进程的父进程pid也就是ppid 通过 ps auxef 查看恶意进程启动的用户如果发现比如是mysql用户启动那么就可以推断是通过mysql服务入侵。
参考linux应急 Linux应急响应笔记 - FreeBuf网络安全行业门户 Linux应急常用命令
/etc/ passwd 用户信息文件 crontab 定时任务文件 anacrontab 异步定时任务文件 /etc/rc.d/rc.local 开机启动项
/var/log/ btmp 登录失败日志last命令查看 cron 定时任务执行日志 lastlog 所有用户登录信息 lastlog secure 验证、授权等日志 wtmp 包含用户登录日志last命令查看 utmp 当前登录系统的用户信息使用last命令查看
stat /root/vulhub/ 查看当前文件的创建时间、修改时间
lastlog 哪些用户登录过服务器 last 哪些用户尝试登录到服务器大量登录请求的即很可能为爆破
top 查看应用CPU占比 类似ps -aux/ps aux/ps -ef
netstat 端口连接状态-antpl netstat -antpl |grep 22 crontab -l 定时任务 history cat ~/.bash_history
grep -rn [1234]* grep -rn 1234*
查找文本内容包含1234的所有文件
下面是linux系统约定不同类型文件默认的颜色
白色表示普通文件 蓝色表示目录 绿色表示可执行文件 红色表示压缩文件 浅蓝色链接文件 红色闪烁表示链接的文件有问题 黄色表示设备文件 灰色表示其它文件
ls -alt 当前目录排序 ls -l /proc/$PID/exe或file /proc/$PID/exe $PID 为异常进程的pid查看下 pid 所对应的进程文件路径。 运行cat /proc/$PID/cmdline查看进程执行的命令及参数 通过file命令查看恶意程序文件类型比如file /tmp/.sh 如果是ELF文件可以通过strings查看ELF里带的字符串可能会泄露一些信息比如 stirngs /tmp/.elf
如果碰到恶意程序被删除可以通过内存转储的方式从内存中导出恶意程序 从内存拷贝恢复被删除文件 cp /proc/[pid]/exe /tmp/malware.dump
导出进程内存 cat /proc/[pid]/maps 7ff48bb5d000-7ff48bb5e000
gdb --pid [pid] dump memory /tmp/malware.dump 0x7ff48bb5d000 0x7ff48bb5e000
rmp -Va 校验rmp软件包
find ./ -mtime 0 -name *.php 查找当前目录下指定天数内修改的指定类型
find ./-ctime 0 -name *.jsp 查找当前目录下指定天数内新增的指定类型
查看 登录失败的ip grep Failed password /var/log/secure |awk {print $11} | sort |uniq -c |sort -nr |more 查看登录成功的ip grep Accepted /var/log/secure |awk {print $11} | sort |uniq -c |sort -nr |more
多次登录失败的某一ip存在爆破的可能若某一ip多次尝试登录同时又有一个登录成功的选项 即为可能爆破成功
ps -ef |awk {print} |sort -n |uniq 1ps -A |grep defunct Windows:
一、账号安全 是否有弱口令远程管理端口是否对公网开放
1、检查方法据实际情况咨询相关服务器管理员。
2、检查账号是否存在可疑账号、新增账号
cmd
lusrmgr.msc
3、查看隐藏账户
regedit
HKEY_LOCAL_MACHINE/SAM/SAM
4、结合系统登陆日志查看管理员登录时间、用户名是否存在异常。
eventvwr.msc
b、导出Windows日志--安全利用Log Parser进行分析。
Log Parser分析日志详解https://blog.csdn.net/zoomla188/article/details/71079645
二、检查异常端口、进程
1、检查端口连接情况是否有远程连接、可疑连接。
检查方法 a、netstat -ano 查看目前的网络连接定位可疑的ESTABLISHED
b、根据netstat 定位出的pid再通过tasklist命令进行进程定位 tasklist | findstr “PID”
2、进程 检查方法
a、开始--运行--输入msinfo32依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息
比如进程路径、进程ID、文件创建日期、启动时间等。
b、打开D盾_web查杀工具进程查看关注没有签名信息的进程。
c、通过微软官方提供的 Process Explorer 等工具进行排查 。
d、查看可疑的进程及其子进程。可以通过观察以下内容
没有签名验证信息的进程
没有描述信息的进程
进程的属主
进程的路径是否合法
CPU或内存资源占用长时间过高的进程
三、检查启动项、计划任务、服务
1、检查服务器是否有异常的启动项。
检查方法 a、登录服务器单击【开始】【所有程序】【启动】默认情况下此目录在是一个空目录确认是否有非业务程序在该目录下。
b、单击开始菜单 【运行】输入 msconfig查看是否存在命名异常的启动项目是则取消勾选命名异常的启动项目并到命令中显示的路径删除文件。
c、单击【开始】【运行】输入 regedit打开注册表查看开机启动项是否正常特别注意如下三个注册表项
Windows注册表详解http://www.freebuf.com/articles/system/142417.html
https://blog.csdn.net/xin_yu_xin/article/details/46940457
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
检查右侧是否有启动异常的项目如有请删除并建议安装杀毒软件进行病毒查杀清除残留病毒或木马。
d、利用安全软件查看启动项、开机时间管理等。
e、组策略运行gpedit.msc。
2、检查计划任务
检查方法 a、单击【开始】【设置】【控制面板】【任务计划】查看计划任务属性便可以发现木马文件的路径。
b、单击【开始】【运行】输入 cmd然后输入at检查计算机与网络上的其它计算机之间的会话或计划任务 如有则确认是否为正常连接。
3、服务自启动
检查方法单击【开始】【运行】输入services.msc注意服务状态和启动类型检查是否有异常服务。 四、检查系统相关信息
1、查看系统版本以及补丁信息
检查方法 单击【开始】【运行】输入systeminfo查看系统信息 2、查找可疑目录及文件
检查方法 a、 查看用户目录新建账号会在这个目录生成一个用户目录查看是否有新建用户目录
Windows2003,XP C:\Documents and Settings
Windows10 C:\Users\
b、单击【开始】【运行】输入%UserProfile%\Recent分析最近打开分析可疑文件。
c、在服务器各个目录可根据文件夹内文件列表时间进行排序查找可疑文件。
五、自动化查杀
1、病毒查杀
检查方法下载安全软件更新最新病毒库进行全盘扫描。
2、webshell查杀
检查方法选择具体站点路径进行webshell查杀建议使用两款webshell查杀工具同时查杀可相互补充规则库的不足。
六、日志分析
1、系统日志
分析方法 a、前提开启审核策略若日后系统出现故障、安全事故则可以查看系统的日志文件排除故障追查入侵者的信息等。
b、WinR打开运行输入“eventvwr.msc”回车运行打开“事件查看器”。
c、导出应用程序日志、安全日志、系统日志利用Log Parser进行分析。
2、WEB访问日志
分析方法 a、找到中间件的web日志打包到本地方便进行分析。
b、推荐工具Windows下推荐用 EmEditor 进行日志分析支持大文本搜索效率还不错。 Linux下使用Shell命令组合查询分析
参考 https://blog.csdn.net/weixin_43781139/article/details/109580138?spm1001.2014.3001.5501
Windows应急响应二 蠕虫病毒 https://blog.csdn.net/weixin_43781139/article/details/109580492?spm1001.2014.3001.5501
Windows应急响应三 FTP暴力破解 https://blog.csdn.net/weixin_43781139/article/details/109580679?spm1001.2014.3001.5501
Window应急响应四 勒索病毒 https://blog.csdn.net/weixin_43781139/article/details/109580853?spm1001.2014.3001.5501
Windows应急响应五 挖矿病毒 https://blog.csdn.net/weixin_43781139/article/details/109581012?spm1001.2014.3001.5501
Window应急响应六 ARP病毒 https://blog.csdn.net/weixin_43781139/article/details/109581425?spm1001.2014.3001.5501
Window应急响应七 NesMiner挖矿病毒 https://blog.csdn.net/weixin_43781139/article/details/109581549?spm1001.2014.3001.5501 windows具体检查项
一、检查系统账号安全
1、查看服务器是否有弱口令远程管理端口是否对公网开放。
2、查看服务器是否存在可疑账号、新增账号。
3、查看服务器是否存在隐藏账号、克隆账号。
4、结合日志查看管理员登录时间、用户名是否存在异常。
二、检查异常端口、进程
1、检查端口连接情况是否有远程连接、可疑连接。
2、进程
检查方法
a、开始--运行--输入msinfo32依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息比如进程路径、进程ID、文件创建日期、启动时间等。
b、打开D盾_web查杀工具进程查看关注没有签名信息的进程。
c、通过微软官方提供的 Process Explorer 等工具进行排查 。
d、查看可疑的进程及其子进程。可以通过观察以下内容
没有签名验证信息的进程
没有描述信息的进程
进程的属主
进程的路径是否合法
CPU或内存资源占用长时间过高的进程
3、小技巧
a、查看端口对应的PID netstat -ano | findstr “port”
b、查看进程对应的PID任务管理器--查看--选择列--PID 或者 tasklist | findstr “PID”
c、查看进程对应的程序位置
任务管理器--选择对应进程--右键打开文件位置
运行输入 wmiccmd界面 输入 process
d、tasklist /svc 进程--PID--服务
e、查看Windows服务所对应的端口 %system%/system32/drivers/etc/services一般%system%就是C:\Windows
三、检查启动项、计划任务、服务
1、检查服务器是否有异常的启动项。
检查方法
a、登录服务器单击【开始】【所有程序】【启动】默认情况下此目录在是一个空目录确认是否有非业务程序在该目录下。
b、单击开始菜单 【运行】输入 msconfig查看是否存在命名异常的启动项目是则取消勾选命名异常的启动项目并到命令中显示的路径删除文件。
c、单击【开始】【运行】输入 regedit打开注册表查看开机启动项是否正常特别注意如下三个注册表项 HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce 检查右侧是否有启动异常的项目如有请删除并建议安装杀毒软件进行病毒查杀清除残留病毒或木马。
d、利用安全软件查看启动项、开机时间管理等。
e、组策略运行gpedit.msc。
2、检查计划任务
检查方法
a、单击【开始】【设置】【控制面板】【任务计划】查看计划任务属性便可以发现木马文件的路径。
b、单击【开始】【运行】输入 cmd然后输入at检查计算机与网络上的其它计算机之间的会话或计划任务如有则确认是否为正常连接。
3、服务自启动 检查方法单击【开始】【运行】输入services.msc注意服务状态和启动类型检查是否有异常服务。
四、检查系统相关信息
1、查看系统版本以及补丁信息
检查方法单击【开始】【运行】输入systeminfo查看系统信息
2、查找可疑目录及文件
检查方法
a、 查看用户目录新建账号会在这个目录生成一个用户目录查看是否有新建用户目录。 Window 2003 C:\Documents and Settings Window 2008R2 C:\Users\
b、单击【开始】【运行】输入%UserProfile%\Recent分析最近打开分析可疑文件。
c、在服务器各个目录可根据文件夹内文件列表时间进行排序查找可疑文件。
五、自动化查杀
病毒查杀
检查方法下载安全软件更新最新病毒库进行全盘扫描。
webshell查杀
检查方法选择具体站点路径进行webshell查杀建议使用两款webshell查杀工具同时查杀可相互补充规则库的不足。
六、日志分析
系统日志
分析方法
a、前提开启审核策略若日后系统出现故障、安全事故则可以查看系统的日志文件排除故障追查入侵者的信息等。
b、WinR打开运行输入“eventvwr.msc”回车运行打开“事件查看器”。
C、导出应用程序日志、安全日志、系统日志利用Log Parser进行分析。
WEB访问日志
分析方法
a、找到中间件的web日志打包到本地方便进行分析。
b、推荐工具Window下推荐用 EmEditor 进行日志分析支持大文本搜索效率还不错。 Linux入侵排查
入侵排查思路
一、账号安全
基本使用
1、用户信息文件/etc/passwd
root:x:0:0:root:/root:/bin/bash
account:password:UID:GID:GECOS:directory:shell
用户名密码用户ID组ID用户说明家目录登陆之后shell
注意无密码只允许本机登陆远程不允许登陆
2、影子文件/etc/shadow
root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
用户名加密密码密码最后一次修改日期两次密码的修改时间间隔密码有效期密码修改到期到的警告天数密码过期之后的宽限天数账号失效时间保留
who 查看当前登录用户tty本地登陆 pts远程登录
w 查看系统信息想知道某一时刻用户的行为
uptime 查看登陆多久、多少用户负载
入侵排查
1、查询特权用户特权用户(uid 为0)
awk -F: $30{print $1} /etc/passwd
2、查询可以远程登录的帐号信息
awk /\$1|\$6/{print $1} /etc/shadow
3、除root帐号外其他帐号是否存在sudo权限。如非管理需要普通帐号应删除sudo权限
more /etc/sudoers | grep -v ^#|^$ | grep ALL(ALL)
4、禁用或删除多余及可疑的帐号
usermod -L user 禁用帐号帐号无法登录/etc/shadow第二栏为!开头
userdel user 删除user用户
userdel -r user 将删除user用户并且将/home目录下的user目录一并删除
二、历史命令
基本使用
通过.bash_history查看帐号执行过的系统命令
1、root的历史命令
histroy
2、打开/home各帐号目录下的.bash_history查看普通帐号的历史命令
为历史的命令增加登录的IP地址、执行命令时间等信息
1保存1万条命令
sed -i s/HISTSIZE1000/HISTSIZE10000/g /etc/profile
2在/etc/profile的文件尾部添加如下行数配置信息
######jiagu history xianshi#########USER_IPwho -u am i 2/dev/null | awk {print $NF} | sed -e s/[()]//gif [ $USER_IP ]thenUSER_IPhostnamefiexport HISTTIMEFORMAT%F %T $USER_IP whoami shopt -s histappendexport PROMPT_COMMANDhistory -a######### jiagu history xianshi ##########
3source /etc/profile让配置生效
生成效果 1 2018-07-10 19:45:39 192.168.204.1 root source /etc/profile
3、历史操作命令的清除history -c
但此命令并不会清除保存在文件中的记录因此需要手动删除.bash_profile文件中的记录。
入侵排查
进入用户目录下
cat .bash_history history.txt
三、端口
使用netstat 网络连接命令分析可疑端口、IP、PID
netstat -antlp|more
查看下pid所对应的进程文件路径
运行ls -l /proc/$PID/exe或file /proc/$PID/exe$PID 为对应的pid 号
四、进程
使用ps命令分析进程
ps aux | grep pid
五、开机启动项
基本使用
系统运行级别示意图
运行级别 含义
0 关机
1 单用户模式可以想象为windows的安全模式主要用于系统修复
2 不完全的命令行模式不含NFS服务
3 完全的命令行模式就是标准字符界面
4 系统保留
5 图形模式
6 重启动
查看运行级别命令 runlevel
系统默认允许级别
vi /etc/inittab
id3initdefault 系统开机后直接进入哪个运行级别
开机启动配置文件
/etc/rc.local
/etc/rc.d/rc[06].d
例子:当我们需要开机启动自己的脚本时只需要将可执行脚本丢在/etc/init.d目录下然后在/etc/rc.d/rc*.d中建立软链接即可 ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100ssh
此处sshd是具体服务的脚本文件S100ssh是其软链接S开头代表加载时自启动如果是K开头的脚本文件代表运行级别加载时需要关闭的。
入侵排查
启动项文件 more /etc/rc.local /etc/rc.d/rc[06].d ls -l /etc/rc.d/rc3.d/
六、定时任务
基本使用
1、利用crontab创建计划任务
• 基本命令
crontab -l 列出某个用户cron服务的详细内容
Tips默认编写的crontab文件会保存在 (/var/spool/cron/用户名 例如: /var/spool/cron/root
crontab -r 删除每个用户cront任务(谨慎删除所有的计划任务)
crontab -e 使用编辑器编辑当前的crontab文件
如/1 * echo hello world /tmp/test.txt 每分钟写入文件
2、利用anacron实现异步定时任务调度
• 使用案例
每天运行 /home/backup.sh脚本 vi /etc/anacrontab daily 10 example.daily /bin/bash /home/backup.sh
当机器在 backup.sh 期望被运行时是关机的anacron会在机器开机十分钟之后运行它而不用再等待 7天。
入侵排查 重点关注以下目录中是否存在恶意脚本 /var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*
小技巧 more /etc/cron.daily/* 查看目录下所有文件
七、服务
服务自启动
第一种修改方法
chkconfig [--level 运行级别] [独立服务名] [on|off]
chkconfig –level 2345 httpd on 开启自启动
chkconfig httpd on 默认level是2345
第二种修改方法
修改/etc/rc.d/rc.local 文件
加入 /etc/init.d/httpd start
第三种修改方法
使用ntsysv命令管理自启动可以管理独立服务和xinetd服务。
入侵排查
1、查询已安装的服务
RPM包安装的服务
chkconfig --list 查看服务自启动状态可以看到所有的RPM包安装的服务
ps aux | grep crond 查看当前服务
系统在3与5级别下的启动项
中文环境
chkconfig --list | grep 3:启用|5:启用
英文环境
chkconfig --list | grep 3:on|5:on 源码包安装的服务
查看服务安装位置 一般是在/user/local/
service httpd start
搜索/etc/rc.d/init.d/ 查看是否存在
八、系统日志
日志默认存放位置/var/log/
查看日志配置情况more /etc/rsyslog.conf
日志文件 说明
/var/log/cron 记录了系统定时任务相关的日志
/var/log/cups 记录打印信息的日志
/var/log/dmesg 记录了系统在开机时内核自检的信息也可以使用dmesg命令直接查看内核自检信息
/var/log/mailog 记录邮件信息
/var/log/message 记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息如果系统出现问题时首先要检查的就应该是这个日志文件
/var/log/btmp 记录错误登录日志这个文件是二进制文件不能直接vi查看而要使用lastb命令查看
/var/log/lastlog 记录系统中所有用户最后一次登录时间的日志这个文件是二进制文件不能直接vi而要使用lastlog命令查看
/var/log/wtmp 永久记录所有用户的登录、注销信息同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件不能直接vi而需要使用last命令来查看
/var/log/utmp 记录当前已经登录的用户信息这个文件会随着用户的登录和注销不断变化只记录当前登录用户的信息。同样这个文件不能直接vi而要使用w,who,users等命令来查询
/var/log/secure 记录验证和授权方面的信息只要涉及账号和密码的程序都会记录比如SSH登录su切换用户sudo授权甚至添加用户和修改用户密码都会记录在这个日志文件中
日志分析技巧
1、定位有多少IP在爆破主机的root帐号
grep Failed password for root /var/log/secure | awk {print $11} | sort | uniq -c | sort -nr | more
定位有哪些IP在爆破
grep Failed password /var/log/secure|grep -E -o (25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)|uniq -c
爆破用户名字典是什么
grep Failed password /var/log/secure|perl -e while($_){ /for(.*?) from/; print $1\n;}|uniq -c|sort -nr
2、登录成功的IP有哪些
grep Accepted /var/log/secure | awk {print $11} | sort | uniq -c | sort -nr | more
登录成功的日期、用户名、IP
grep Accepted /var/log/secure | awk {print $1,$2,$3,$9,$11}
3、增加一个用户kali日志
Jul 10 00:12:15 localhost useradd[2382]: new group: namekali, GID1001Jul 10 00:12:15 localhost useradd[2382]: new user: namekali, UID1001, GID1001, home/home/kali, shell/bin/bashJul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali#grep useradd /var/log/secure
4、删除用户kali日志
Jul 10 00:14:17 localhost userdel[2393]: delete user kali Jul 10 00:14:17 localhost userdel[2393]: removed group kali owned by kali Jul 10 00:14:17 localhost userdel[2393]: removed shadow group kali owned by kali grep userdel /var/log/secure
5、su切换用户
Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid0)
sudo授权执行:
sudo -l Jul 10 00:43:09 localhost sudo: good : TTYpts/4 ; PWD/home/good ; USERroot ; COMMAND/sbin/shutdown -r now
