一 基本情况 1.1  简要 此事件是去年应急处置时完成的报告,距今有半年时间了.一直存在电脑里,最近准备完善应急响应中遇到的各类安全事件,这篇文章作为这一系列的开端. 对于 Linux 安全检查,个人上段时间写了个 shell 用于一键进行 Linux 安全检查,本文对 Linux 的检查使用相关脚本均可实现,相关链接如下: https://mp.weixin.qq.com/s/S0OmDRU6uQo8LBBK-GUAaQ https://github.com/T0xst/linux 1.2…

0x00 前言 作为一个运维工程师,而非一个专业的病毒分析工程师,遇到了比较复杂的病毒怎么办?别怕,虽然对二进制不熟,但是依靠系统运维的经验,我们可以用自己的方式来解决它. 0x01 感染现象 1.向大量远程IP的445端口发送请求 2.使用各种杀毒软件查杀无果,虽然能识别出在C:\Windows\NerworkDistribution中发现异常文件,但即使删除NerworkDistribution后,每次重启又会再次生成. 在查询了大量资料后,找到了一篇在2018年2月有关该病毒的报告: Nr…

近半年做了很多应急响应项目,针对黑客入侵.但疲于没有时间来总结一些常用的东西,寄希望用这篇博文分享一些安全工程师在处理应急响应时常见的套路,因为方面众多可能有些杂碎. 个人认为入侵响应的核心无外乎四个字,顺藤摸瓜.我们常常需要找到比较关键的信息后通过一些指令查询或者分析日志,逐步分析黑客的具体步骤. 入侵后需要被关注的Linux系统日志 var/log/cron 记录crontab命令是否被正确的执行,一般会被黑客删除 var/log/lastlog 记录登录的用户,可以使用命令lastlog查…

0x00 前言 ​ 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 常见的应急响应事件分类: web入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS攻击.DNS劫持.ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入…

应急响应 适用于负责现场应急,找出可疑的程序,恶意代码的安全工程师.这些可疑恶意程序或代码由另外的专家进行逆向分析. 前言 首先,什么是DRIF? DRIR:Digital Forensics and Incident Response,翻译过来就是=>数字取证与事件应急响应. 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损…

近日,阿里云安全团队发布了<2018年云上挖矿分析报告>.该报告以阿里云2018年的攻防数据为基础,对恶意挖矿态势进行了分析,并为个人和企业提出了合理的安全防护建议. 报告指出,尽管加密货币的价格在2018年经历了暴跌,但挖矿仍是网络黑产团伙在入侵服务器之后最直接的变现手段,越来越多的0-Day/N-Day漏洞在公布后的极短时间内就被用于入侵挖矿,黑产团伙利用漏洞发起攻击进行挖矿的趋势仍将持续. 以下是报告部分内容,下载报告完整版:https://yq.aliyun.com/download/…

0x00 前言 ​ 随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一.病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题. 0x01 应急场景 ​ 某天上午重启服务器的时候,发现程序启动很慢,打开任务管理器,发现cpu被占用接近100%,服务器资源占用严重. 0x02 事件分析 ​ 登录网站服务器进行排查,发现多个异常进程: 分析进程参数: wmic process get caption,co…

0x00 前言 ​ 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路. 0x01 入侵排查思路 一.账号安全 基本使用: 1.用户信息文件/etc/passwdroot:x:0:0:root:/root:/bin/bash…

0x00 前言 ​ 随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式.新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率,通过利用永恒之蓝(EternalBlue).web攻击多种漏洞(如Tomcat弱口令攻击.Weblogic WLS组件漏洞.Jboss反序列化漏洞.Struts2远程命令执行等),导致大量服务器被感染挖矿程序的现象 . 0x01 应急场景 ​ 某天,安全管理员在登录安全设备巡检时,发现某台…

总体思路 确认问题与系统现象 → 取证清除与影响评估 → 系统加固 → 复盘整改 常见入侵 ① 挖矿: 表象:CPU增高.可疑定时任务.外联矿池IP. 告警:威胁情报(主要).Hids.蜜罐(挖矿扩散时触发) 动作:通过CPU确认异常情况→ 确认可疑进程 → 检查定时任务.主机服务.守护进程→结束病毒进程,删除病毒文件->加固. ②Webshell: 表象:业务侧应用逻辑漏洞(允许上传脚本等造成命令执行)或者开源软件低版本造成(fastjson等)导致,通常为反弹shell.高危命令执行,同时存…

御界预警:3700余台SQL服务器被入侵挖矿 或导致严重信息泄露事件 https://zhuanlan.kanxue.com/article-8292.htm sqlserver的弱密码破解和提权攻击. 概述 本周腾讯安全应急响应中心接到客户求助,客户部署的腾讯御界高级威胁检测系统发现系统失陷感知信息,该公司安全管理人员及时联络腾讯安全专家协助分析威胁来源. 腾讯御界报告系统攻陷警报 腾讯安全工程师在征得客户同意后对客户机器进行远程取证,结合御界的关键日志,我们发现这是一起针对SQL Serve…

概述 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Linux没有像Autorun.procexp这样的应急响应利器,也没有统一的应急响应处理流程.所以,这篇文章将会对Linux环境下的应急响应流程进行讲解,并且提供每一个环节中所用到的shell命令,以帮助大家快速.系统化地处理Linux环境下的病毒. 处理Linux应急响应主要分为这4个环节:识别现象-> 清除病毒-> 闭环兜底-> 系统加固. 首先从用户场景的主机异常现象出发,先识别出病毒的可疑现象.…

0x00 前言 ARP病毒并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称,目前在局域网中较为常见.发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多. 0x01 应急场景 某天早上,小伙伴给我发了一个微信,说192.168.64.76 CPU现在负载很高,在日志分析平台查看了一下这台服务器的相关日志,流量在某个时间点暴涨,发现大量137端口的UDP攻击. 0x02 分析过程 登录服务器,首先查看137端口对应的进程,…

0x00 前言 ​ FTP是一个文件传输协议,用户通过FTP可从客户机程序向远程主机上传或下载文件,常用于网站代码维护.日常源码备份等.如果攻击者通过FTP匿名访问或者弱口令获取FTP权限,可直接上传webshell,进一步渗透提权,直至控制整个网站服务器. 0x01 应急场景 ​ 从昨天开始,网站响应速度变得缓慢,网站服务器登录上去非常卡,重启服务器就能保证一段时间的正常访问,网站响应状态时而飞快时而缓慢,多数时间是缓慢的.针对网站服务器异常,系统日志和网站日志,是我们排查处理的重点.查看Wi…

0x00 前言 ​ 蠕虫病毒是一种十分古老的计算机病毒,它是一种自包含的程序(或是一套程序),通常通过网络途径传播,每入侵到一台新的计算机,它就在这台计算机上复制自己,并自动执行它自身的程序. 常见的蠕虫病毒:熊猫烧香病毒 .冲击波/震荡波病毒.conficker病毒等. 0x01 应急场景 ​ 某天早上,管理员在出口防火墙发现内网服务器不断向境外IP发起主动连接,内网环境,无法连通外网,无图脑补. 0x02 事件分析 在出口防火墙看到的服务器内网IP,首先将中病毒的主机从内网断开,然后登录该服…

0x00 前言 ​ 勒索病毒,是一种新型电脑病毒,主要以邮件.程序木马.网页挂马的形式进行传播.该病毒性质恶劣.危害极大,一旦感染将给用户带来无法估量的损失.这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解.自WannaCry勒索病毒在全球爆发之后,各种变种及新型勒索病毒层出不穷. 0x01 应急场景 ​ 某天早上,网站管理员打开OA系统,首页访问异常,显示乱码: 0x02 事件分析 ​ 登录网站服务器进行排查,在站点目录下发现所有的脚本文件及附件都被…

0x00 前言 ​ SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全.SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限. 0x01 应急场景 ​ 某天,网站管理员登录服务器进行巡检时,发现端口连接里存在两条可疑的连接记录,如下图: TCP初始化连接三次握手吧:发SYN包,然后返回SYN/ACK包,再发ACK包,连接正式建立.但是这里…

0x01 应急响应概述   首先我们来了解一下两个概念:应急响应和安全建设,这两者的区别就是应急响应是被动响应.安全建设是主动防御.  所谓有因才有果,既然是被动的,那么我们在应急响应的时候就得先了解本次安全事件的起因,常见的有: 安全设备告警.数据被勒索加密.数据泄露在网上贩卖.网页被篡改.服务器CPU爆满卡死等.   在应急响应的时候,你会发现一个非常有用的经验技巧,就是:一旦你能够确定本次安全事件的类型,猜测出攻击者或者恶意代码的攻击思路,然后去验证排查这些猜想,就会加速你的分析过程,而这…

Linux安全事件应急响应排查方法总结 Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能.高扩展性.高安全性,受到了越来越多的运维人员追捧.但是针对Linux服务器操作系统的安全事件也非常多的.攻击方式主要是弱口令攻击.远程溢出攻击及其他应用漏洞攻击等.我的VPS在前几天就遭受了一次被恶意利用扫描其他主机SSH弱口令安全问题.以下是我针对此次攻击事件,结合工作中Linux安全事件分析处理办法,总结Linux安全应急响应过程中的分析方法. 一.分析原则 重要数据先备份再分析,尽量不要…

0x00 前言 ​ Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装.木马得名于其在变量函数的命名中,大量使用Gates这个单词.分析和清除盖茨木马的过程,可以发现有很多值得去学习和借鉴的地方. 0x01 应急场景 ​ 某天,网站管理员发现服务器CPU资源异常,几个异常进程占用大量网络带宽: 0x02 事件分析 异常IP连接: 异常进程: ​ 查看进行发现ps aux进程异常,进…

0x00 前言 ​ 短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送. 在系统维护中,一般很难去察觉,需要借助网络安全设备或者抓包分析,才能够去发现. 0x01 应急场景 ​ 某天,网络管理员在出口WAF检测到某台服务器不断向香港I发起请求 ,感觉很奇怪,登录服务器排查,想要找到发起短连接的进程. 0x02 日志分析 ​ 登录服务器查看端口.进程,并未发…

一.主机篇: 1.自动化初筛,建议使用RootkitHunter (1)安装 $sudo wget https://jaist.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz $.tar.gz $ $sudo sh install.sh --install (2)使用(主要看一下,常用的基础的命令有没有被替换) $/usr/local/bin/rkhunter --propupd $/usr/loc…

Linux应急响应重点检查项 用户账号审计: cat /etc/passwd & cat /etc/shadow 在线账户审计: w 登录状况审计: last 空口令账户审计: awk -F: '($2 == "") { print $1 }' /etc/shadow 主机配置检查中不允许存在空口令账户,虽然空口令账户暂时没发现利用的方式,但是不符合等级保护的基本原则. 特权账户审计: awk -F: '($3 ==0) { print $1 }' /etc/passwd Li…

一.前记 无论是甲方还是乙方的同学,应急响应可能都是家常便饭,你可能经常收到如下反馈: 运维同事 --> 服务器上存在可疑进程,系统资源占用高: 网络同事 --> 监控发现某台服务器对外大量发包: .... 不要着急,喝一杯82年的美年达压压惊,希望本文可以对你有所帮助. 二.排查流程 0x01 Web服务 一般如果网络边界做好控制,通常对外开放的仅是Web服务,那么需要先找到Webshell,可以通过如下途径: 1)检查最近创建的php.jsp文件和上传目录 例如要查找24小时内被修改的JS…

日期:2019-06-07 16:11:49 作者:Bay0net 介绍:Windows 应急响应.取证及溯源相关内容学习记录 0x00.前言 常见的应急分类: web入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS攻击.DNS劫持.ARP欺骗 0x01.入侵排查过程 1.1 系统账户相关 注意事项:弱口令.22/3389 等端口是否对外 查看账号的方法: net user(无法列出$用户) lusrmgr.exe(无法找到注册表方式建立的用…

文件排查 敏感目录文件分析 tmp目录 命令目录 /usr/bin /usr/sbin 开机启动项 /etc/init.d /etc/init.d是/etc/rc.d/init.d的软链接 文件时间 按时间排序查看指定目录下文件 ls -alt | head -n 10 stat 针对可以文件可以使用stat进行创建修改时间,访问时间的详细查看,若修改时间距离事件日期接近,有线性关联,说明可能呗篡改或者其它 | 状态 | 解释 | | ---- | ---- | | Access | 文件最后一…

目录 应急响应流程 防御模型 SDL 应急响应流程 很多人认为应急响应就是脸上被黑的机器去查查什么情况,是不是被中了botnet病毒.是不是被人中了rootkit等,是不是被挂了webshell等.应急响应这件事情是一件技术含量非常高的事情,处理好了万事大吉,处理不好的话就很容易把系统搞崩溃,甚至引起一些不必要的情况.应急响应这件事儿,CSO和安全运营工程师的点其实不太一样,其实原因还是因为两个人的职责不一样,CSO是非常特别以及极其不愿意自己的公司名字出现在SRC或者补天这些漏洞平台上,毕竟出…

Windows 应急响应 常见事件ID 1102 清理审计日志 4624 账号登陆成功 4625 账号登陆失败 4672 授予特殊权限 4720 创建用户 4726 删除用户 4728 将成员添加到启用安全的全局组中 4729 将成员从安全组移除 4732 将成员添加到启用安全的本地组中 4733 将成员从启用安全的本地组移除 4756 将成员添加到启用安全的通用组中 4757 将成员从启用安全的通用组中移除 4719 系统审计策略修改 常见登陆类型 2 交互式登陆(用户从控制台登陆) 3 网络…

一.渗透测试 1.信息收集类 #查看系统信息 >systeminfo #查看用户信息 >net user >net user xxx #查看网络信息 >ipconfig /all >route print >netstat -abon >netstat -s >nbtstat -c >nbtstat -n >arp -a #查询域信息 >net time /domain >net view /domain >net user /…

在应急响应中,我们经常会使用find命令来查找系统中被黑客修改过的文件,或者被上传的木马后门文件,灵活使用find命令可以达到事半功倍的效果,现总结下使用技巧 举例,查找最近被更改的jsp文件 find /webapp -name "*.jsp" -mtime 0 这里面容易混淆的是mtime后门的数字n find . –mtime n:最后一次修改发生在距离当前时间n*天至n+1天例如要查找1天内被修改的JSP文件: find /webapp -name "*.jsp&qu…