病毒检测

1
2
https://s.threatbook.cn/
https://www.virustotal.com/gui/home/upload

IP溯源

1
https://x.threatbook.com/

Windows

网络连接

1
netstat -anop

查看监听,是否存在异常监听端口
定位可疑的ESTABLISHED(ESTABLISHED表示TCP连接成功)

异常进程

进程排查工具:
process hacker
重点排查进程:

  1. 网络连接中可疑ESTABLISHED的PID进程
  2. svchost.exe
1
2
3
- 判断文件目录地址是否存在于%systemroot%\System32
- tasklist/svc命令查看svchost.exe右边的服务是否‘暂缺’
- 是否有调用可疑动态链接库(右键-属性 查看command line)

敏感目录

  1. 排查最近访问文件:%UserProfile%\Recent,查看是否存在危险文件,分析功能即可

  2. 对WWW中存在的webshell位置进行排查(D盾)

后门文件

对可疑文件进行分析:

  1. 创建时间
  2. 位置
  3. 是否存在外连行为
  4. 执行内容

后门账号

使用D盾查看是否存在克隆账号

1
2
net user // 查看系统账户
net user username // 查看用户具体信息

注册表排查
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
是否存在隐藏用户

计划任务

计划任务排查工具:autoruns

分析计划任务所执行的内容

自启动项

自启动项排查工具:autoruns
分析自启动项所执行的内容

日志

排查web日志

web日志排查工具:http_log_view 360星图
根据webshell上传事件去检索日志,对攻击者的ip进行溯源

排查mysql日志

1
show global variables like 'log_%';

排查系统登录日志

  • 事件查看器-Windows日志-安全
  • 事件ID:4624-系统登录成功
  • 登录类型:10-远程交互

其他

  1. 排查浏览器的下载记录
  2. 排查其他用户的桌面或文件夹中是否存在可疑文件

webshell排查

webshell排查工具:D盾

linux

网络连接

对内: 敏感服务/端口:22,445,3389。(stat=SYN?)
对外:非常规服务端口,高端口,云主机IP等等

1
2
3
4
5
6
netstat -anp(显示全部网络连接)
netstat -tlnp(TCP监听)
netstat -tnp(TCP连接)
netstat -unp(UDP连接)
netstat -tnp -c 1|grep SYN/TIME/ESTAB(以1s的频率执行netstat)
lsof -i(显示全部网络连接,可以观察到对应的进程与用户)

异常进程

1
ps -ef/-aux //二者的输出结果大致相同,风格不同,aux会截断command,ef不会

关注内容:

  • 进程特征:参数、路径、名称、资源占用
  • 操作特征:网络特征、行为特征(CMD)
1
top //查看资源占用

敏感目录

1
ls -a
  • /tmp
  • /var/tmp
  • /dev/shm

后门文件

ssh后门

查看进程

1
netstat -antp|grep -E "chfn|su|chsh" //找到异常端口及进程

定位文件

1
ps -aux|grep 进程号 //通过进程找异常文件

删除文件

1
rm –f 文件path

后门账号

账号后门

cat /etc/passwd
cat /etc/shadow
stat /etc/passwd
stat /etc/shadown
awk -F: ‘{if($3==0)print $1}’ /etc/passwd //打印root权限的user

密钥后门

cat /etc/ssh/sshd_config | grep PubkeyAuthentication //是否为yes
/root/.ssh/authorized_keys //查看是否被修改

计划任务

/var/log/cron //计划任务日志

1
2
3
4
5
6
7
grep "CROND" cron //查看历史执行记录
for user in $(cut -f1 -d: /etc/passwd); do echo $user; crontab -u $user -l; done //查看所有用户的计划任务 
cat /etc/crontab //查看系统任务表
cat /etc/cron.d/*
cat /etc/cron.daily/*
cat /etc/cron.weekly/*
cat /etc/cron.monthly/*

自启动项

重点目录:
/etc/profile.d
/etc/init.d
/etc/rc.d/init.d
/etc/rc*.d
重点文件:
/etc/pfofile
/etc/bashrc
~/.bash_profile
~/.profile
~/.bash_login
~/.bash_logout

日志

1
2
stat filename;
ls -lu;ls -l;ls -lc;

Access Time 访问时间-读取文件内容(cat/more)
Modify Time 修改时间-修改文件内容(vim/>/>>/ls -l)默认只有root能修改日志
Change Time 状态时间-修改文件内容/属性(chmod/chown)

登录日志

重点排查文件
/var/log/secure //记录用户验证、授权等信息

1
2
3
4
grep "Accepted" /var/log/secure //登录成功
grep "Failed" /var/log/secure //登录失败
grep "useradd" /var/log/secure //添加用户
grep "userdel" /var/log/secure //删除用户

/var/log/lastlog //记录最近成功登录的事件
/var/log/btmp //记录所有登录失败的记录
/var/log/wtmp //记录每个用户登录、注销及系统的启动、停机的事件
/var/run/utmp //记录每个用户的信息

操作日志

~/.bash_history //bash历史记录
~/.viminfo //vim操作历史记录
~/.ssh/known_hosts //ssh连接记录记录

web日志/应用日志

/var/log/nginx
/var/log/httpd
/user-projects//servers//logs/access.log

webshell排查

工具:河马