1 事件分類

常見的安全事件：

1. Web入侵：掛馬、篡改、Webshell
2. 系統(tǒng)入侵：系統(tǒng)異常、RDP爆破、SSH爆破、主機(jī)漏洞
3. 病毒木馬：遠(yuǎn)控、后門、勒索軟件
4. 信息泄漏：脫褲、數(shù)據(jù)庫(kù)登錄（弱口令）
5. 網(wǎng)絡(luò)流量：頻繁發(fā)包、批量請(qǐng)求、DDoS攻擊

2 排查思路

一個(gè)常規(guī)的入侵事件后的系統(tǒng)排查思路：

 

1. 文件分析?a) 文件日期、新增文件、可疑/異常文件、最近使用文件、瀏覽器下載文件?b) Webshell 排查與分析?c) 核心應(yīng)用關(guān)聯(lián)目錄文件分析
2. 進(jìn)程分析?a) 當(dāng)前活動(dòng)進(jìn)程 & 遠(yuǎn)程連接?b) 啟動(dòng)進(jìn)程&計(jì)劃任務(wù)?c) 進(jìn)程工具分析? i. windows:Pchunter? ii. linux: Chkrootkit&Rkhunter
3. 系統(tǒng)信息?a) 環(huán)境變量?b) 帳號(hào)信息?c) History?d) 系統(tǒng)配置文件
4. 日志分析?a) 操作系統(tǒng)日志? i. Windows: 事件查看器（eventvwr）? ii. Linux: /var/log/?b) 應(yīng)用日志分析? i. Access.log? ii. Error.log

3 分析排查

3.1 Linux系列分析排查

3.1.1 文件分析

1. 敏感目錄的文件分析（類/tmp目錄，命令目錄/usr/bin /usr/sbin）?例如:?查看tmp目錄下的文件： ls –alt /tmp/?查看開機(jī)啟動(dòng)項(xiàng)內(nèi)容：ls -alt /etc/init.d/?查看指定目錄下文件時(shí)間的排序：ls -alt | head -n 10?針對(duì)可疑文件可以使用stat進(jìn)行創(chuàng)建修改時(shí)間、訪問時(shí)間的詳細(xì)查看，若修改時(shí)間距離事件日期接近，有線性關(guān)聯(lián)，說明可能被篡改或者其他。

 

1. 新增文件分析?例如要查找24小時(shí)內(nèi)被修改的JSP文件： find ./ -mtime 0 -name "*.jsp"?（最后一次修改發(fā)生在距離當(dāng)前時(shí)間n24小時(shí)至(n+1)24 小時(shí)）?查找72小時(shí)內(nèi)新增的文件find / -ctime -2?PS：-ctime 內(nèi)容未改變權(quán)限改變時(shí)候也可以查出?根據(jù)確定時(shí)間去反推變更的文件?ls -al /tmp | grep "Feb 27"
2. 特殊權(quán)限的文件?查找777的權(quán)限的文件 find / *.jsp -perm 4777
3. 隱藏的文件（以 "."開頭的具有隱藏屬性的文件）
4. 在文件分析過程中，手工排查頻率較高的命令是 find grep ls 核心目的是為了關(guān)聯(lián)推理出可疑文件。

3.1.2 進(jìn)程命令

1. 使用netstat 網(wǎng)絡(luò)連接命令，分析可疑端口、可疑IP、可疑PID及程序進(jìn)程netstat –antlp | more

 

1. 使用ps命令，分析進(jìn)程

ps aux | grep pid | grep –v grep

 

將netstat與ps 結(jié)合，可參考vinc牛的案例：

 

 

（可以使用lsof -i:1677 查看指定端口對(duì)應(yīng)的程序）

1. 使用ls 以及 stat 查看系統(tǒng)命令是否被替換。?兩種思路：第一種查看命令目錄最近的時(shí)間排序，第二種根據(jù)確定時(shí)間去匹配。?ls -alt /usr/bin | head -10?ls -al /bin /usr/bin /usr/sbin/ /sbin/ | grep "Jan 15"

 

PS：如果日期數(shù)字<10，中間需要兩個(gè)空格。比如1月1日，grep “Jan 1”

1. 隱藏進(jìn)程查看

ps -ef | awk '{print}' | sort -n | uniq >1
ls /proc | sort -n |uniq >2
diff 1 2

3.1.3 系統(tǒng)信息

history (cat /root/.bash_history)
/etc/passwd
crontab  /etc/cron*
rc.local  /etc/init.d chkconfig
last
$PATH
strings

1. 查看分析history (cat /root/.bash_history)，曾經(jīng)的命令操作痕跡，以便進(jìn)一步排查溯源。運(yùn)氣好有可能通過記錄關(guān)聯(lián)到如下信息：a) wget 遠(yuǎn)程某主機(jī)（域名&IP）的遠(yuǎn)控文件；b) 嘗試連接內(nèi)網(wǎng)某主機(jī)（ssh scp），便于分析攻擊者意圖;c) 打包某敏感數(shù)據(jù)或代碼，tar zip 類命令d) 對(duì)系統(tǒng)進(jìn)行配置，包括命令修改、遠(yuǎn)控木馬類，可找到攻擊者關(guān)聯(lián)信息…
2. 查看分析用戶相關(guān)分析?a) useradd userdel 的命令時(shí)間變化（stat），以及是否包含可疑信息b) cat /etc/passwd 分析可疑帳號(hào)，可登錄帳號(hào)查看UID為0的帳號(hào)：awk -F: '{if($3==0)print $1}' /etc/passwd查看能夠登錄的帳號(hào)：cat /etc/passwd | grep -E "/bin/bash$"PS：UID為0的帳號(hào)也不一定都是可疑帳號(hào)，F(xiàn)reebsd默認(rèn)存在toor帳號(hào)，且uid為0.（toor 在BSD官網(wǎng)解釋為root替代帳號(hào)，屬于可信帳號(hào)）

 

1. 查看分析任務(wù)計(jì)劃a) 通過crontabl –l 查看當(dāng)前的任務(wù)計(jì)劃有哪些，是否有后門木馬程序啟動(dòng)相關(guān)信息；b) 查看etc目錄任務(wù)計(jì)劃相關(guān)文件，ls /etc/cron*
2. 查看linux 開機(jī)啟動(dòng)程序a) 查看rc.local文件（/etc/init.d/rc.local /etc/rc.local）b) ls –alt /etc/init.d/c) chkconfig
3. 查看系統(tǒng)用戶登錄信息a) 使用lastlog命令，系統(tǒng)中所有用戶最近一次登錄信息。b) 使用lastb命令，用于顯示用戶錯(cuò)誤的登錄列表c) 使用last命令，用于顯示用戶最近登錄信息（數(shù)據(jù)源為/var/log/wtmp，var/log/btmp）? utmp文件中保存的是當(dāng)前正在本系統(tǒng)中的用戶的信息。? wtmp文件中保存的是登錄過本系統(tǒng)的用戶的信息。? /var/log/wtmp 文件結(jié)構(gòu)和/var/run/utmp 文件結(jié)構(gòu)一樣，都是引用/usr/include/bits/utmp.h 中的struct utmp

 

1. 系統(tǒng)路徑分析a) echo $PATH 分析有無敏感可疑信息
2. 指定信息檢索a) strings命令在對(duì)象文件或二進(jìn)制文件中查找可打印的字符串b) 分析sshd 文件，是否包括IP信息strings /usr/bin/.sshd | egrep '[1-9]{1,3}.[1-9]{1,3}.'PS：此正則不嚴(yán)謹(jǐn)，但匹配IP已夠用c) 根據(jù)關(guān)鍵字匹配命令內(nèi)是否包含信息（如IP地址、時(shí)間信息、遠(yuǎn)控信息、木馬特征、代號(hào)名稱）
3. 查看ssh相關(guān)目錄有無可疑的公鑰存在。a) redis（6379） 未授權(quán)惡意入侵，即可直接通過redis到目標(biāo)主機(jī)導(dǎo)入公鑰。b) 目錄： /etc/ssh ./.ssh/

3.1.4 后門排查

除以上文件、進(jìn)程、系統(tǒng) 分析外，推薦工具：

? chkrootkit rkhunter（www.chkrootkit.org rkhunter.sourceforge.net）

Ø chkrootkit

(迭代更新了20年)主要功能：

1. 檢測(cè)是否被植入后門、木馬、rootkit
2. 檢測(cè)系統(tǒng)命令是否正常
3. 檢測(cè)登錄日志
4. 詳細(xì)參考README

 

Ø rkhunter主要功能：

1. 系統(tǒng)命令（Binary）檢測(cè)，包括Md5 校驗(yàn)
2. Rootkit檢測(cè)
3. 本機(jī)敏感目錄、系統(tǒng)配置、服務(wù)及套件異常檢測(cè)
4. 三方應(yīng)用版本檢測(cè)

 

Ø RPM check檢查

系統(tǒng)完整性也可以通過rpm自帶的-Va來校驗(yàn)檢查所有的rpm軟件包,有哪些被篡改了,防止rpm也被替換,上傳一個(gè)安全干凈穩(wěn)定版本rpm二進(jìn)制到服務(wù)器上進(jìn)行檢查

./rpm -Va > rpm.log

如果一切均校驗(yàn)正常將不會(huì)產(chǎn)生任何輸出。如果有不一致的地方，就會(huì)顯示出來。輸出格式是8位長(zhǎng)字符串, c 用以指配置文件, 接著是文件名. 8位字符的每一個(gè) 用以表示文件與RPM數(shù)據(jù)庫(kù)中一種屬性的比較結(jié)果 。 . (點(diǎn)) 表示測(cè)試通過。.下面的字符表示對(duì)RPM軟件包進(jìn)行的某種測(cè)試失敗：

5 MD5 校驗(yàn)碼
S 文件尺寸
L 符號(hào)連接
T 文件修改日期
D 設(shè)備
U 用戶
G 用戶組
M 模式e (包括權(quán)限和文件類型)

借用sobug文章案例：如下圖可知ps, pstree, netstat, sshd等等系統(tǒng)關(guān)鍵進(jìn)程被篡改了

 

Ø Webshell查找

? Webshell的排查可以通過文件、流量、日志三種方式進(jìn)行分析，基于文件的命名特征和內(nèi)容特征，相對(duì)操作性較高，在入侵后應(yīng)急過程中頻率也比較高。

可根據(jù)webshell特征進(jìn)行命令查找，簡(jiǎn)單的可使用(當(dāng)然會(huì)存在漏報(bào)和誤報(bào))

find /var/www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|(gunerpress|(base64_decoolcode|spider_bc|shell_exec|passthru|($_POST[|eval (str_rot13|.chr(|${"_P|eval($_R|file_put_contents(.*$_|base64_decode'

1. Webshell的排查可以通過
2. Github上存在各種版本的webshell查殺腳本，當(dāng)然都有自己的特點(diǎn)，可使用河馬shell查殺（shellpub.com）

綜上所述，通過chkrootkit 、rkhunter、RPM check、Webshell Check 等手段得出以下應(yīng)對(duì)措施：

1. 根據(jù)進(jìn)程、連接等信息關(guān)聯(lián)的程序，查看木馬活動(dòng)信息。
2. 假如系統(tǒng)的命令（例如netstat ls 等）被替換，為了進(jìn)一步排查，需要下載一新的或者從其他未感染的主機(jī)拷貝新的命令。
3. 發(fā)現(xiàn)可疑可執(zhí)行的木馬文件，不要急于刪除，先打包備份一份。
4. 發(fā)現(xiàn)可疑的文本木馬文件，使用文本工具對(duì)其內(nèi)容進(jìn)行分析，包括回連IP地址、加密方式、關(guān)鍵字（以便擴(kuò)大整個(gè)目錄的文件特征提取）等。

3.1.5 日志分析

日志文件
/var/log/message       包括整體系統(tǒng)信息
/var/log/auth.log        包含系統(tǒng)授權(quán)信息，包括用戶登錄和使用的權(quán)限機(jī)制等
/var/log/userlog         記錄所有等級(jí)用戶信息的日志。
/var/log/cron           記錄crontab命令是否被正確的執(zhí)行
/var/log/xferlog(vsftpd.log)記錄Linux FTP日志
/var/log/lastlog         記錄登錄的用戶，可以使用命令lastlog查看
/var/log/secure         記錄大多數(shù)應(yīng)用輸入的賬號(hào)與密碼，登錄成功與否
var/log/wtmp　　      記錄登錄系統(tǒng)成功的賬戶信息，等同于命令last
var/log/faillog　　      記錄登錄系統(tǒng)不成功的賬號(hào)信息，一般會(huì)被黑客刪除

1. 日志查看分析，grep,sed,sort,awk綜合運(yùn)用
2. 基于時(shí)間的日志管理：/var/log/wtmp/var/run/utmp/var/log/lastlog(lastlog)/var/log/btmp(lastb)
3. 登錄日志可以關(guān)注Accepted、Failed password 、invalid特殊關(guān)鍵字
4. 登錄相關(guān)命令lastlog 記錄最近幾次成功登錄的事件和最后一次不成功的登錄 who 命令查詢utmp文件并報(bào)告當(dāng)前登錄的每個(gè)用戶。Who的缺省輸出包括用戶名、終端類型、登錄日期及遠(yuǎn)程主機(jī) w 命令查詢utmp文件并顯示當(dāng)前系統(tǒng)中每個(gè)用戶和它所運(yùn)行的進(jìn)程信息 users 用單獨(dú)的一行打印出當(dāng)前登錄的用戶，每個(gè)顯示的用戶名對(duì)應(yīng)一個(gè)登錄會(huì)話。如果一個(gè)用戶有不止一個(gè)登錄會(huì)話，那他的用戶名把顯示相同的次數(shù) last 命令往回搜索wtmp來顯示自從文件第一次創(chuàng)建以來登錄過的用戶 finger 命令用來查找并顯示用戶信息，系統(tǒng)管理員通過使用該命令可以知道某個(gè)時(shí)候到底有多少用戶在使用這臺(tái)Linux主機(jī)。
5. 幾個(gè)語句定位有多少IP在爆破主機(jī)的root帳號(hào) grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more 登錄成功的IP有哪些 grep "Accepted " /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more tail -400f demo.log #監(jiān)控最后400行日志文件的變化 等價(jià)與 tail -n 400 -f （-f參數(shù)是實(shí)時(shí)） less demo.log #查看日志文件，支持上下滾屏，查找功能 uniq -c demo.log #標(biāo)記該行重復(fù)的數(shù)量，不重復(fù)值為1 grep -c 'ERROR' demo.log #輸出文件demo.log中查找所有包行ERROR的行的數(shù)量

3.1.6 相關(guān)處置

kill -9

chattr –i

rm

setfacl

ssh

chmod

3.2 Windows系列分析排查

3.2.1 文件分析

1. 開機(jī)啟動(dòng)有無異常文件
2. 各個(gè)盤下的temp(tmp)相關(guān)目錄下查看有無異常文件
3. 瀏覽器瀏覽痕跡、瀏覽器下載文件、瀏覽器cookie信息
4. 查看文件時(shí)間，創(chuàng)建時(shí)間、修改時(shí)間、訪問時(shí)間。對(duì)應(yīng)linux的ctime mtime atime，通過對(duì)文件右鍵屬性即可看到詳細(xì)的時(shí)間（也可以通過dir /tc 1.aspx 來查看創(chuàng)建時(shí)間），黑客通過菜刀類工具改變的是修改時(shí)間。所以如果修改時(shí)間在創(chuàng)建時(shí)間之前明顯是可疑文件。
5. 查看用戶recent相關(guān)文件，通過分析最近打開分析可疑文件a) C:Documents and SettingsAdministratorRecentb) C:Documents and SettingsDefault UserRecentc) 開始,運(yùn)行 %UserProfile%Recent
6. 根據(jù)文件夾內(nèi)文件列表時(shí)間進(jìn)行排序，查找可疑文件。當(dāng)然也可以搜索指定日期范圍的文件及文件件

Server 2008 R2系列

 

Win10 系列

 

1. 關(guān)鍵字匹配，通過確定后的入侵時(shí)間，以及webshell或js文件的關(guān)鍵字（比如博彩類），可以在IIS 日志中進(jìn)行過濾匹配，比如經(jīng)常使用:
2. 知道是上傳目錄，在web log 中查看指定時(shí)間范圍包括上傳文件夾的訪問請(qǐng)求 findstr /s /m /I “UploadFiles” *.log 某次博彩事件中的六合彩信息是six.js findstr /s /m /I “six.js” *.aspx 根據(jù)shell名關(guān)鍵字去搜索D盤spy相關(guān)的文件有哪些 for /r d: %i in (*spy*.aspx) do @echo %i

3.2.2 進(jìn)程命令

1. netstat -ano 查看目前的網(wǎng)絡(luò)連接，定位可疑的ESTABLISHED
2. 根據(jù)netstat 定位出的pid，再通過tasklist命令進(jìn)行進(jìn)程定位

 

1. 通過tasklist命令查看可疑程序

3.2.3 系統(tǒng)信息

1. 使用set命令查看變量的設(shè)置
2. Windows 的計(jì)劃任務(wù)；
3. Windows 的帳號(hào)信息，如隱藏帳號(hào)等
4. 配套的注冊(cè)表信息檢索查看，SAM文件以及遠(yuǎn)控軟件類
5. 查看systeminfo 信息，系統(tǒng)版本以及補(bǔ)丁信息例如系統(tǒng)的遠(yuǎn)程命令執(zhí)行漏洞MS08-067、MS09-001、MS17-010（永恒之藍(lán)）…若進(jìn)行漏洞比對(duì)，建議使用Windows-Exploit-Suggesterhttps://github.com/GDSSecurity/Windows-Exploit-Suggester/

3.2.4 后門排查

PC Hunter是一個(gè)Windows系統(tǒng)信息查看軟件

http://www.xuetr.com/

功能列表如下：

1.進(jìn)程、線程、進(jìn)程模塊、進(jìn)程窗口、進(jìn)程內(nèi)存信息查看，殺進(jìn)程、殺線程、卸載模塊等功能
2.內(nèi)核驅(qū)動(dòng)模塊查看，支持內(nèi)核驅(qū)動(dòng)模塊的內(nèi)存拷貝
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看，并能檢測(cè)和恢復(fù)ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看，并支持對(duì)這些Notify Routine的刪除
5.端口信息查看，目前不支持2000系統(tǒng)
6.查看消息鉤子
7.內(nèi)核模塊的iat、eat、inline hook、patches檢測(cè)和恢復(fù)
8.磁盤、卷、鍵盤、網(wǎng)絡(luò)層等過濾驅(qū)動(dòng)檢測(cè)，并支持刪除
9.注冊(cè)表編輯
10.進(jìn)程iat、eat、inline hook、patches檢測(cè)和恢復(fù)
11.文件系統(tǒng)查看，支持基本的文件操作
12.查看（編輯）IE插件、SPI、啟動(dòng)項(xiàng)、服務(wù)、Host文件、映像劫持、文件關(guān)聯(lián)、系統(tǒng)防火墻規(guī)則、IME
13.ObjectType Hook檢測(cè)和恢復(fù)
14.DPC定時(shí)器檢測(cè)和刪除
15.MBR Rootkit檢測(cè)和修復(fù)
16.內(nèi)核對(duì)象劫持檢測(cè)
17.WorkerThread枚舉
18.Ndis中一些回調(diào)信息枚舉
19.硬件調(diào)試寄存器、調(diào)試相關(guān)API檢測(cè)
20.枚舉SFilter/Fltmgr的回調(diào)

PS：最簡(jiǎn)單的使用方法，根據(jù)顏色去辨識(shí)——可疑進(jìn)程，隱藏服務(wù)、被掛鉤函數(shù)：紅色，然后根據(jù)程序右鍵功能去定位具體的程序和移除功能。根據(jù)可疑的進(jìn)程名等進(jìn)行互聯(lián)網(wǎng)信息檢索然后統(tǒng)一清除并關(guān)聯(lián)注冊(cè)表。

 

Webshell 排查

1. 可以使用hm

 

1. 也可以使用盾類（D盾、暗組盾），如果可以把web目錄導(dǎo)出，可以在自己虛擬機(jī)進(jìn)行分析

3.2.5 日志分析

1. 打開事件管理器（開始—管理工具—事件查看/開始運(yùn)行eventvwr）
2. 主要分析安全日志，可以借助自帶的篩選功能

 

 

 

1. 可以把日志導(dǎo)出為文本格式，然后使用notepad++ 打開，使用正則模式去匹配遠(yuǎn)程登錄過的IP地址，在界定事件日期范圍的基礎(chǔ)，可以提高效率正則是：
2. ((?:(?:25[0-5]|2[0-4]d|((1d{2})|([1-9]?d))).){3}(?:25[0-5]|2[0-4]d|((1d{2})|([1-9]?d))))

 

1. 強(qiáng)大的日志分析工具Log Parser

 

#分析IIS日志
LogParser.exe "select top 10 time, c-ip,cs-uri-stem, sc-status, time-taken from C:Userssm0nkDesktopiis.log" -o:datagrid

 

有了這些我們就可以對(duì)windows日志進(jìn)行分析了 比如我們分析域控日志的時(shí)候，想要查詢賬戶登陸過程中，用戶正確，密碼錯(cuò)誤的情況，我們需要統(tǒng)計(jì)出源IP，時(shí)間，用戶名時(shí)，我們可以這么寫（當(dāng)然也可以結(jié)合一些統(tǒng)計(jì)函數(shù)，分組統(tǒng)計(jì)等等）：
LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT_TOKEN(Strings,2,'|') AS SERVICE_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM 'e:logparser\xx.evtx' WHERE EventID=675"

 

事件ID是很好的索引

Windows server 2008系列參考event ID：
4624 - 帳戶已成功登錄
4625 - 帳戶登錄失敗
4648 - 試圖使用明確的憑證登錄（例如遠(yuǎn)程桌面）

3.2.6 相關(guān)處置

1. 通過網(wǎng)絡(luò)連接鎖定的可疑進(jìn)程，進(jìn)行定位惡意程序后刪除(taskkill)
2. 木馬查殺，可配合pchunter 進(jìn)行進(jìn)一步專業(yè)分析，使用工具功能進(jìn)行強(qiáng)制停止以及刪除
3. 最后清理后，統(tǒng)一查看網(wǎng)絡(luò)連接、進(jìn)程、內(nèi)核鉤置等是否正常。

3.3 應(yīng)用類

Apache、Tomcat、Nginx、IIS

無論任何web服務(wù)器其實(shí)日志需要關(guān)注的東西是一致的，即access_log和error_log。一般在確定ip地址后，通過:

find . access_log |grep xargs ip攻擊地址

find . access_log| grep xargs 木馬文件名

頁面訪問排名前十的IP
cat access.log | cut -f1 -d " " | sort | uniq -c | sort -k 1 -r | head -10
頁面訪問排名前十的URL
cat access.log | cut -f4 -d " " | sort | uniq -c | sort -k 1 -r | head -10
查看最耗時(shí)的頁面
cat access.log | sort -k 2 -n -r | head 10

在對(duì)WEB日志進(jìn)行安全分析時(shí)，可以按照下面兩種思路展開，逐步深入，還原整個(gè)攻擊過程。

1. 首先確定受到攻擊、入侵的時(shí)間范圍，以此為線索，查找這個(gè)時(shí)間范圍內(nèi)可疑的日志，進(jìn)一步排查，最終確定攻擊者，還原攻擊過程。

 

1. 一般攻擊者在入侵網(wǎng)站后，通常會(huì)上傳一個(gè)后門文件，以方便自己以后訪問。我們也可以以該文件為線索來展開分析。

 

4 應(yīng)急總結(jié)

1. 核心思路是“順藤摸瓜”
2. 碎片信息的關(guān)聯(lián)分析
3. 時(shí)間范圍的界定以及關(guān)鍵操作時(shí)間點(diǎn)串聯(lián)
4. Web入侵類，shell定位很重要
5. 假設(shè)與求證
6. 攻擊畫像與路線確認(rèn)

5 滲透反輔

1. 密碼讀取a) Windows: Mimikatzb) Linux: mimipenguin
2. 帳號(hào)信息a) 操作系統(tǒng)帳號(hào)b) 數(shù)據(jù)庫(kù)帳號(hào)c) 應(yīng)用帳號(hào)信息
3. 敏感信息a) 配置信息b) 數(shù)據(jù)庫(kù)信息c) 服務(wù)端口信息d) 指紋信息
4. 滾雪球式線性拓展a) 密碼口令類拓展（遠(yuǎn)控）b) 典型漏洞批量利用
5. 常見的入侵方式Getshell方法a) WEB入侵? i. 典型漏洞：注入Getshell , 上傳Getshell，命令執(zhí)行Getshell，文件包含Getshell，代碼執(zhí)行Getshell，編輯器getshell，后臺(tái)管理Getshell，數(shù)據(jù)庫(kù)操作Getshell? ii. 容器相關(guān)：Tomcat、Axis2、WebLogic等中間件弱口令上傳war包等，Websphere、weblogic、jboss反序列化，Struts2代碼執(zhí)行漏洞，Spring命令執(zhí)行漏洞b) 系統(tǒng)入侵? i. SSH 破解后登錄操作? ii. RDP 破解后登錄操作? iii. MSSQL破解后遠(yuǎn)控操作? iv. SMB遠(yuǎn)程命令執(zhí)行（MS08-067、MS17-010、CVE-2017-7494）c) 典型應(yīng)用? i. Mail暴力破解后信息挖掘及漏洞利用? ii. VPN暴力破解后繞過邊界? iii. Redis 未授權(quán)訪問或弱口令可導(dǎo)ssh公鑰或命令執(zhí)行? iv. Rsync 未授權(quán)訪問類? v. Mongodb未授權(quán)訪問類? vi. Elasticsearch命令執(zhí)行漏洞? vii. Memcache未授權(quán)訪問漏洞? viii. 服務(wù)相關(guān)口令（MySQL ldap zebra squid vnc smb）

6 資源參考

https://www.waitalone.cn/linux-find-webshell.html

http://vinc.top/category/yjxy/

http://www.shellpub.com/

http://linux.vbird.org/linux_security/0420rkhunter.php

https://cisofy.com/download/lynis/

https://sobug.com/article/detail/27?from=message&isAppinstalled=1

http://www.freebuf.com/articles/web/23358.html

https://www.microsoft.com/en-us/download/details.aspx?id=24659

http://www.cnblogs.com/downmoon/archive/2009/09/02/1558409.html

http://wooyun.jozxing.cc/static/drops/tips-7462.html

http://bobao.360.cn/learning/detail/3830.html

https://yq.aliyun.com/ziliao/65679

http://secsky.sinaapp.com/188.html

http://blog.sina.com.cn/s/blog_d7058b150102wu07.html

http://www.sleuthkit.org/autopsy/

7 FAQ

1. 應(yīng)急需求有哪些分類：a) 被誰入侵了？ 關(guān)聯(lián) 攻擊IP 攻擊者信息b) 怎么入侵的？ 關(guān)聯(lián) 入侵時(shí)間軸、漏洞信息c) 為什么被入侵？ 關(guān)聯(lián) 行業(yè)特性、數(shù)據(jù)信息、漏洞信息d) 數(shù)據(jù)是否被竊取？ 關(guān)聯(lián) 日志審計(jì)e) 怎么辦？ 關(guān)聯(lián) 隔離、排查分析、刪馬（解密）、加固、新運(yùn)營(yíng)
2. 關(guān)于windows的日志工具（log parser）有無圖形界面版？Log Parser Lizard 是一款用Vc++.net寫的logParser增強(qiáng)工具。主要有以下特點(diǎn)：a) 封裝了logParser命令，帶圖形界面，大大降低了LogParser的使用難度。b) 集成了幾個(gè)開源工具，如log4net等。可以對(duì)IIS logsEventLogsactive directorylog4netFile SystemsT-SQL進(jìn)行方便的查詢。c) 集成了Infragistics.UltraChart.Core.v4.3、Infragistics.Excel.v4.3.dll等，使查詢結(jié)果可以方便的以圖表或EXCEL格式展示。d) 集成了常見的查詢命令，范圍包含六大模塊:IISe) 可以將查詢過的命令保存下來，方便再次使用。

 

PS:軟件是比較老的，對(duì)新系統(tǒng)兼容性不好，還是建議微軟原生態(tài)log parser

1. 在linux日志中，有無黑客入侵后的操作命令的統(tǒng)計(jì)**a) 可以根據(jù)history信息進(jìn)行溯源分析，但一般可能會(huì)被清除b) 還有方法是需要結(jié)合accton 和 lastcomm

 

1. 3.2.3 提到了Windows-Exploit-Suggester，有無linux版？Linux_Exploit_Suggester https://github.com/PenturaLabs/Linux_Exploit_Suggester

 

1. 有無linux自動(dòng)化信息收集的腳本工具？LinEnum https://github.com/rebootuser/LinEnum
2.  
3. 有無綜合的取證分析工具Autopsy 是sleuthkit提供的平臺(tái)工具，Windows 和 Linux磁盤映像靜態(tài)分析、恢復(fù)被刪文件、時(shí)間線分析，網(wǎng)絡(luò)瀏覽歷史，關(guān)鍵字搜索和郵件分析等功能

? http://www.sleuthkit.org/autopsy/

1. 關(guān)于業(yè)務(wù)邏輯的排查方法說明

新型業(yè)務(wù)安全中安全事件，例如撞庫(kù)、薅羊毛、支付、邏輯校驗(yàn)等敏感環(huán)節(jié)，未在本文體現(xiàn)，所以后續(xù)有必要針對(duì)業(yè)務(wù)側(cè)的應(yīng)急排查方法歸納。