当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作。进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
安全事件分类
- Web 入侵: 挂马、篡改、Webshell
- 系统入侵: 系统异常、RDP 爆破、SSH 爆破、主机漏洞
- 病毒木马: 远控、后门、勒索软件
- 信息泄漏: 脱裤、数据库登录(弱口令)
- 网络流量: 频繁发包、批量请求、DDOS 攻击
首先是对入侵的安全事件进行分类,确认安全事件属于哪类入侵,然后用相应的方法应急。
安全事件分级
I 级事件 – 特别重大突发事件
- 网络大面积中断
- 主要业务大规模瘫痪
- 大规模用户 / 业务数据泄漏
II 级事件 – 重大突发事件
- 大规模主机入侵
- 大规模业务数据损坏
- 小规模数据泄漏
- 政治敏感事件: 官网挂黑页
III 级事件 – 较大突发事件
- 部分业务系统遭受入侵
- 主要业务遭受 DDOS
IV 级事件 – 一般突发事件
- 部分业务系统宕机
- 部分业务系统异常 / 无法访问
通过对安全事件的定级,确认属于什么级别的事故,采取相应的应急预案和紧急程度的确认。
安全响应执行流程
- 事件发生(运维监控人员、客服审核人员等),发现问题的开始,及时通报
- 事件确认: 判断事件的严重性,评估出问题的严重等级,是否向上进行汇报等
- 事件响应: 各部门通力合作,处理安全问题,具体解决阶段
- 事件关闭: 处理完事件之后,需要关闭事件,并写出安全应急处理分析报告,完成整个应急过程
被入侵的主机排查流程
- 定位被入侵的主机并且立即对该主机进行断网隔离
- 确定攻击类型
- 确定被入侵的时间范围
- 定位恶意文件和入侵痕迹
- 溯源入侵来源
- 清理恶意文件 / 修复漏洞
- 事件复盘
其实这是 web 安全工作人员最常见的排查流程,因为例如 ddos 这类的事件可能托管在运维侧,而安全工程师常常是应急网站被入侵后的安全事件。
被入侵的主机排查方法
1. 检测补丁情况: 看看有没有打了最新的补丁, 看看是不是用漏洞搞进来的
- systeminfo | uname -a
2. 日志分析: 定位入侵路线, 是系统配置出了问题 (ssh 弱口令, 域管理员 hash 泄漏) 还是 WEB 服务出了问题(传马,WEB 漏洞利用)
- eventvwr | /var/log , .bash_history
- access.log mysql_log.log
3. 账户信息: 先看看是不是帐户有弱口令, 再看看用户的登录时间, 也观察一下有没有给留后门账户
- quser | who last
4. 进程分析: 定位一下看看有没有运行恶意进程
- procxp , pchunter | ps -aux , chkrootkit , rkhunter
5. 文件分析: 找找 Shell 和后门, 看看这个是什么样的 Shell
- lchangedfiles | find / -ctime -1 -print
6. 系统分析: 计划任务, 自启动服务等
Linux :
- history (cat /root/.bash_history) 查看执行过的命令, 排查和溯源
- /etc/passwd 分析用户
- awk -F:‘{if($3==0)print $1}’/etc/passwd 查看 UID 为 0 的帐号
- cat /etc/passwd | grep -E“/bin/bash$”查看可以登录的帐号
- crontab /etc/cron* 查看计划任务
- rc.local /etc/init.d chkconfig 查看 Linux 自启动程序
- last 查看最近用户登录信息
- lastb 查看最近用户登录错误信息
- $PATH 系统路径环境变量
- strings 提取字符串
Windows :
- 查看系统变量
- Windows 计划任务
- Windows 帐号信息
- SAM 文件
- Windows-Exploit-Suggester
附上常用应急命令:
正文完
