Linux幼儿园

  • 首页
  • 信息安全
  • 防火墙
  • 知识点
  • 活动目录
  • 硬件
  • 软件
  • linux干货
  • linux命令集
    • 备份压缩
    • 文件传输
    • 文件管理
    • 文档编辑
    • 磁盘管理
    • 系统管理
    • 网络通讯
    • 设备管理
    • 其他命令
  1. 首页
  2. 信息安全
  3. 正文

应急响应总结

06/02/2021 383点热度 0人点赞 0条评论

当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作。进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。

安全事件分类

  1. Web入侵:挂马、篡改、Webshell
  2. 系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞
  3. 病毒木马:远控、后门、勒索软件
  4. 信息泄漏:脱裤、数据库登录(弱口令)
  5. 网络流量:频繁发包、批量请求、DDOS攻击

首先是对入侵的安全事件进行分类,确认安全事件属于哪类入侵,然后用相应的方法应急。

安全事件分级

I 级事件 – 特别重大突发事件

  1. 网络大面积中断
  2. 主要业务大规模瘫痪
  3. 大规模用户/业务数据泄漏

II 级事件 – 重大突发事件

  1. 大规模主机入侵
  2. 大规模业务数据损坏
  3. 小规模数据泄漏
  4. 政治敏感事件:官网挂黑页

III 级事件 – 较大突发事件

  1. 部分业务系统遭受入侵
  2. 主要业务遭受DDOS

IV 级事件 – 一般突发事件

  1. 部分业务系统宕机
  2. 部分业务系统异常/无法访问

通过对安全事件的定级,确认属于什么级别的事故,采取相应的应急预案和紧急程度的确认。

安全响应执行流程

  1. 事件发生(运维监控人员、客服审核人员等),发现问题的开始,及时通报
  2. 事件确认:判断事件的严重性,评估出问题的严重等级,是否向上进行汇报等
  3. 事件响应:各部门通力合作,处理安全问题,具体解决阶段
  4. 事件关闭:处理完事件之后,需要关闭事件,并写出安全应急处理分析报告,完成整个应急过程

被入侵的主机排查流程

  1. 定位被入侵的主机并且立即对该主机进行断网隔离
  2. 确定攻击类型
  3. 确定被入侵的时间范围
  4. 定位恶意文件和入侵痕迹
  5. 溯源入侵来源
  6. 清理恶意文件/修复漏洞
  7. 事件复盘

其实这是web安全工作人员最常见的排查流程,因为例如ddos这类的事件可能托管在运维侧,而安全工程师常常是应急网站被入侵后的安全事件。

被入侵的主机排查方法

1.检测补丁情况:看看有没有打了最新的补丁,看看是不是用漏洞搞进来的

  • systeminfo | uname -a

2.日志分析:定位入侵路线,是系统配置出了问题(ssh 弱口令,域管理员hash 泄漏)还是WEB 服务出了问题(传马,WEB 漏洞利用)

  • eventvwr | /var/log , .bash_history
  • access.log mysql_log.log

3.账户信息:先看看是不是帐户有弱口令,再看看用户的登录时间,也观察一下有没有给留后门账户

  • quser | who last

4.进程分析:定位一下看看有没有运行恶意进程

  • procxp , pchunter | ps -aux , chkrootkit , rkhunter

5.文件分析:找找Shell 和后门,看看这个是什么样的Shell

  • lchangedfiles | find / -ctime -1 -print

6.系统分析:计划任务,自启动服务等
Linux :

  • history (cat /root/.bash_history) 查看执行过的命令,排查和溯源
  • /etc/passwd 分析用户
  • awk -F: ‘{if($3==0)print $1}’ /etc/passwd 查看UID 为0 的帐号
  • cat /etc/passwd | grep -E “/bin/bash$” 查看可以登录的帐号
  • crontab /etc/cron* 查看计划任务
  • rc.local /etc/init.d chkconfig 查看Linux 自启动程序
  • last 查看最近用户登录信息
  • lastb 查看最近用户登录错误信息
  • $PATH 系统路径环境变量
  • strings 提取字符串

Windows :

  • 查看系统变量
  • Windows 计划任务
  • Windows 帐号信息
  • SAM 文件
  • Windows-Exploit-Suggester

附上常用应急命令:

img

本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可
标签: 应急响应
最后更新:06/02/2021

JJJ

这个人很懒,什么都没留下

打赏 点赞
< 上一篇
下一篇 >

COPYRIGHT © 2021 linuxvip.com. ALL RIGHTS RESERVED.

Theme Kratos Made By Seaton Jiang

TrustAsia 安全签章