應急回應是指客戶的機器遭到非法入侵后采取一系列措施,從而將損失降到最小
應急回應的排查思路主要有
- 系統賬號
- 啟動項
- 計劃任務
- 行程
- 網路連接
- 分析檔案
- 日志分析
Linux應急回應
系統賬號
查看/etc/passwd檔案,是否有可疑的賬戶
last命令查看用戶的登錄資訊
啟動項
檢查啟動項中是否存在例外任務,Linux的啟動項在/etc/rc.rocal檔案和/etc/rc.d/目錄下
計劃任務
檢查計劃任務中是否有例外的任務,Linux系統的計劃任務保存在/var/spool/cron/目錄下,以用戶名命名
crontab -l -- 查看計劃任務
crontab -e -- 編輯計劃任務
行程
ps -aux查看行程資訊,檢查是否存在惡意行程
- -a 顯示所有行程
- -u 顯示用戶名
- -x 顯示完整資訊
網路連接
netstat -antlp查看網路連接,檢查是否存在可疑的網路連接
- -a 顯示所有選項
- -n 顯示數字資訊
- -t 顯示tcp連接
- -l 顯示監聽狀態的鏈接
- -p 顯示相關的程式名
分析檔案
檢查近期創建或修改的檔案,分析可疑的檔案
find / -mtime -1 根目錄范圍下,搜索1天內修改過的檔案
- / 查找的范圍(路徑)
- -ctime 按照檔案創建時間搜索(-n指n天內,+n指n天前)
- -mtime 根據檔案更改時間搜索(-n指n天內,+n指n天前)
- -atime 根據檔案訪問時間搜索(-n指n天內,+n指n天前)
- -perm 根據權限查找 find -perm 777
Windows應急回應
系統賬號
net user -- 查看系統賬號
啟動項
win+r打開運行視窗,輸入shell:startup,檢查開機啟動項
計劃任務
cmd輸入taskschd.msc,檢查計劃任務,或者schtasks命令查看計劃任務
行程
tasklist -- 查看行程
taskkill -- 結束行程
netstat -ano -- 查看網路連接
- -a 顯示所有埠
- -n 數字形式顯示
- -o 顯示關聯的行程ID
shift粘滯鍵后門
按下5次shift鍵,檢查彈出來的是不是系統的粘滯鍵
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/291281.html
標籤:其他
上一篇:docker(持續更新中)