[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(二)
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一)
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(二)
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(三)
上篇文章简单从应急响应是安全岗位的必问知识点引入,从客户描述中寻找可利用信息帮助处理异常事件。重点介绍了什么是应急响应,应急响应基本流程。本篇文章将写道真实工作环境中我们我们的分析方法及具体采用的一些分析技术、工具等内容。
目录
四、工作中分析流程(重点):
1. 日志分析
1. 寻找日志路径,下载日志
1. IIS环境:
2. 宝塔环境:
3. Windows查看日志:
4. 不同环境中的日志文件路径基本相似,再次不做过多介绍
2. 分析日志思路
1.如何通过日志文件寻找攻击的呢 ?
3. 日志分析方式
1. 手工:(根据上面思路)
2. 利用工具
4. 工具介绍
1. 奇安信的360星图日志分析工具:
2. Win日志自动神器LogonTracer
3. ELK和Splunk(用的最多的)
2. 后门分析
1.常见危害:
2.常见分析:
补充资料:
病毒分析:
病毒查杀:
病毒动态:
在线病毒扫描网站 :
3. 流量分析
4. 脚本软件分析
5. 模拟渗透分析(少见)
后续还会针对上面的每一个方向进行深入讲解
应付面试的话可以先学到这里
后续会有采用一些具体的实例来让大家加深印象。欢迎关注订阅哦!
文章分享
四、工作中分析流程(重点):
1. 日志分析
1. 寻找日志路径,下载日志
不同环境的服务器日志路径不一样
例如:
1. IIS环境:
现在用的很少了,但能帮助了解(IIS是图形化,更容易学习)
iis的 前提是站长没有关闭日志
日志内容: 时间 攻击IP 攻击文件 请求方式 状态码 等等
(日志是前期站长配置的 保留什么文件)
2. 宝塔环境:
是现在比较常见的,宝塔面板找到linux的安装目录, 找到配置文件,.conf等,发现日志文件路径,然后下载日志文件即可
3. Windows查看日志:
打开服务器管理 找到对应的服务器
系统安全和程序较为重要 事件ID数表示含义网上查找
4. 不同环境中的日志文件路径基本相似,再次不做过多介绍
在真实工作环境中,每个安全公司都会有成熟的应急响应流程,里面都会包括具体的服务器的相关日志文件路径。万一没有我们可以在白度进行查找。不必纠结
2. 分析日志思路
1.如何通过日志文件寻找攻击的呢 ?
首先:在日志中搜索有没有诸如语句关键字,以注入漏洞为例:
注入语句层面:搜索select,updataxml等关键字
攻击工具层面:搜索sqlmap,nmap等关键字
(这其实就叫做指纹库搜索:根据工具指纹信息进行搜索)
然后:找出日志信息,定位IP
在真实环境中,我们很容易查出这类数据包(大型网站都会受到不计其数的攻击)
发现数据包(疑似攻击),我们需要定位其ip(日志文件中包含IP)
接着:查找该IP的所有数据包,看他干过哪些事情(数据包请求)
以该IP为关键字进行查询,从头到尾的记录 看攻击者有没有成功 可以分析关键性的攻击行为
接着:进行判断,判断其是否为此次异常的攻击源
如果我们可以在该IP的数据包中发现有提权、权限维持、上传后门等,基本上他就攻击成功了,我们需要记录他的所有相关信息
如果判断得出没有攻击成功,或者排除此次异常与其相关,简单记录。同理继续查看下一个IP。
最后:将得出的结果进行整理,对此次攻击进行处理,向客户提出根本性的解决建议。
整理-->报告
处理-->黑名单等(应急不是本质上解决,是临时处理。)
提出建议-->(我们只需要提出本质上解决的合理建议就可以)
3. 日志分析方式
1. 手工:(根据上面思路)
手工进行分析,在真实工作中几乎见不到
在一些个人网站存在,也是不常见的
通常我们会利用工具对日志进行分析
2. 利用工具
在真实工作环境中,公司都会有工具给你使用
4. 工具介绍
1. 奇安信的360星图日志分析工具:
目前官方已经停止维护,可自己百度下载
有缺点:都是老的一些东西(只支持iis apche nginx)
配置一下配置文件(config.ini)配置日志所在路径(可以单个路径 也可多个)
直接启动start.bat脚本文件就可以了
每个日志文件经过分析会生成三个报告文件
优点:
一款非常好用的网站访问日志分析工具,可以有效识别Web漏洞攻击、CC攻击、恶意爬虫扫描、异常访问等行为。一键自动化分析,输出安全分析报告,支持iis/apache/nginx日志,支持自定义格式。
缺点:
支持的日志类型较少,智能用于小网站日志分析,对于数据量很大的网站不适合
2. Win日志自动神器LogonTracer
安装使用
后续会具体在介绍工具的使用
3. ELK和Splunk(用的最多的)
ELK和Splunk是都需要用到的工具(蓝队必须要用的)专有日志分析平台
检索大数据(快)
推荐 | 10个好用的Web日志安全分析工具 - Bypass - 博客园 十款常见的web日志安全分析工具
2. 后门分析
10款常见的Webshell检测工具 - Bypass - 博客园 十款常见的webshell查杀工具
1.常见危害:
暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC木马等),病毒感染(挖矿,蠕虫,勒索等)。
暴力破解漏洞利用,操作系统漏洞利用,基于口令攻击的ftp,ssh等
针对系统流量的,3种影响是软肋的(需要后续操作 不然不会有什么危害)
木马控制,病毒感染危害服务器的正常运行
网站性木马,PC木马(控制系统的木马),APP的木马 利用杀毒软件 免杀需人工
2.常见分析:
计算机账户,端口,进程,网络,启动,服务,任务,文件等安全问题
常见日志类别及存储: Windows,Linux
补充资料:
https://xz.aliyun.com/t/485 应急响应大集合
值得收藏!史上最全Windows安全工具锦集 - SecPulse.COM | 安全脉搏 windows安全工具锦集
Sysinternals - Windows Sysinternals | Microsoft Docs windows官方的工具
病毒分析:
PCHunter:恶意代码检测 虚拟机脱壳. Rootkit检测 木马检测
火绒剑:火绒安全
Process Explorer:进程资源管理器 - Windows Sysinternals | Microsoft Docs
processhacker:Downloads - Process Hacker
autoruns:Autoruns for Windows - Windows Sysinternals | Microsoft Docs
OTL:https://www.bleepingcomputer.com/download/otl/
SysInspector:下载-杀毒软件下载,防病毒,反木马 - ESET NOD32中国官方网站
病毒查杀:
卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
大蜘蛛:Dr.Web CureIt! — Скачать бесплатно
火绒安全软件:火绒安全
360杀毒:360杀毒_下载中心
病毒动态:
CVERC-国家计算机病毒应急处理中心:CVERC-国家计算机病毒应急处理中心
微步在线威胁情报社区:首页 - 微步在线威胁情报社区
火绒安全论坛:火绒安全软件 - 火绒安全软件
爱毒霸社区:电脑杀毒软件_中国知名杀毒软件-金山毒霸交流论坛|免费病毒救援
腾讯电脑管家:软件功能下载_顽固木马专杀_网络诊断工具-腾讯电脑管家论坛
在线病毒扫描网站 :
VirSCAN.org - Free Multi-Engine Online Virus Scanner v1.02, Supports 47 AntiVirus Engines! //多引擎在线病毒扫描网
腾讯哈勃分析系统 //腾讯哈勃分析系统
Jotti's malware scan //Jotti恶意软件扫描系统
ScanVir - 云鉴定网 - 威胁情报|云扫描|多引擎在线杀毒|可疑文件分析 //计算机病毒、手机病毒、可疑文件分析
木马是控制(监控),病毒是乱搞(破坏)
3. 流量分析
这种分析防火墙上会有相关策略,进行把控。
如,一定时间内访问量达到多少加入黑名单。陌生IP访问警告提醒等等。
针对流量进行分析,某一个IP访问流量超出一般水平较多即可以将其评为疑似攻击IP,然后日志查询进行分析。
针对流量进行分析,某一个IP访问流量超出一般水平太多即可以将其评为攻击IP,直接对其进行处理。常见的为黑名单形式。
不是本地IP进行特别关注
......
4. 脚本软件分析
利用脚本软件进行分析,我们需要有自己的应急响应工具包。
这一点,在后面会有一篇文章深入讲解。
5. 模拟渗透分析(少见)
在前面方式无果的情况下,是最麻烦的,也可以说黑客的水平很高很高。
那么这个时候我们需要自己模拟渗透,以发现纰漏。
这是最难的一种情况,也就是说,我们自己成为一名黑客进行攻击。
后续还会针对上面的每一个方向进行深入讲解
应付面试的话可以先学到这里
后续会有采用一些具体的实例来让大家加深印象。欢迎关注订阅哦!
文章分享
网络篇
[ 网络模型篇 ]大白话告诉你什么是OSI七层模型[ 网络协议篇 ] TCP三次握手四次挥手深度解析[ 网络模型篇 ]大白话告诉你什么是OSI七层模型
[ 网络协议篇 ] 一篇文章让你掌握神秘的 ACL
[ 网络协议篇 ] 一篇文章让你掌握神秘的 NAT
[ 网络协议篇 ] 一篇文章让你掌握神秘的 DHCP(一)
[ 网络协议篇 ] 一篇文章让你掌握神秘的 DHCP(二)
linux篇
[ linux ] 工作中常用的防火墙操作
[ linux ] 压缩文件和文件解压缩你都了解吗?
[ linux ] vim 编辑器的三种模式介绍
[ linux ] 你真的熟悉 linux 目录操作吗 ?
[ linux ] 你真的熟悉 linux 文件操作吗 ?
应急响应篇
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一)
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(二)
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(三)
闲聊篇
[ 闲聊篇 ] 大白话告诉你如何预防“人肉”?
[ 程序员那些事 ]程序员会修电脑?程序员到底是干嘛的?
[ 程序员那些事 ]程序员下班后从不关电脑 ?
[ 电脑维修那些事 ] 一招教你自己解决电脑蓝屏
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(二)相关推荐
- [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一)
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一) [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(二) [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(三) 目录 一.应急响应是 安全 ...
- 网络安全应急响应----4、DDoS攻击应急响应
文章目录 一.DDoS攻击简介 二.DDoS攻击方法 1.消耗网络带宽资源 1.1.ICMP Flood (ICMP洪水攻击) 1.2.UDP Flood (UDP洪水攻击) 2.消耗系统资源 2.1 ...
- 网络安全应急响应----6、挖矿攻击应急响应
文章目录 一.挖矿木马简介 1.挖矿流程 2.挖矿木马的传播方式 二.常见的挖矿木马 三.挖矿木马应急响应方法 3.1.隔离被感染的服务器/主机 3.2.确认挖矿进程 3.3.系统排查 3.3.1.判 ...
- 【安全服务】应急响应1:流程、排查与分析
目录 一.应急响应流程 1 准备阶段 2 检测阶段 3 抑制阶段 4 根除阶段 5 恢复阶段 6 总结阶段 现场处置流程 二.系统排查 1.系统信息 2.用户信息 3 启动项 4 任务计划 5 其他: ...
- Windows应急响应篇
转载至奇安信攻防社区-Windows应急响应篇 Windows应急响应篇 本篇主要以windows下应急响应的基础技术手段进行介绍. 一.概述: 近年来,随着互联网的发展网络安全攻击事件也是大幅度增多 ...
- 应急响应之windows日志分析工具logparser使用
目录 一.logparser简介 (一)logparser介绍 (二)下载链接 二.logparser安装 三.基本查询结构 四.使用Log Parser分析日志 (一)查询登录成功的事件 1. 登录 ...
- Linux服务器被入侵后的排查思路(应急响应思路)
目录 Linux-暴力破解.替换ps命令并留存后门事件复现 一.事件背景 二.应急响应过程 排查crontab后门 排查是否有命令被替换 响应过程回顾 三.事件还原 查看后门 排查安全日志 Linux ...
- p74 应急响应-winlinux 分析后门勒索病毒攻击
数据来源 操作系统(windows,linux)应急响应: 常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等) 常见分析:计算机账户,端 ...
- window操作系统服务器应急响应流程
常见的应急响应事件分类: web 入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS 攻击.DNS 劫持.ARP 欺骗 针对常见的攻击事件,结合工作 ...
- 一次SSH爆破攻击haiduc工具的应急响应
一.概述 2022年3月底,在网络安全监测中发现某网络攻击组织利用SSH爆破投放挖矿程序的活动比较活跃,主要涉及的是一个haiduc的工具. 二.检测定位阶段工作说明 2.1.异常现象确认 服务器被植 ...
最新文章
- Python学习笔记第五周
- Android——学习:线性布局权重分配
- 结构体指针struct stu *p;和结构体变量struct stu p;结构体为什么要用指针引用而不用变量引用
- java enum优点_你需要关注的 Java Enum 枚举的几个细节
- 记录学习WeakReference发现的问题
- 伪造邮件***,社工钓鱼,你中招了吗【一】
- svn之删除文件并释放空间
- 将爬取到的数据存入数据框并导出
- ruijie交换机lacp动态_vmware esxi 做链路聚合LACP踩坑
- 【机器学习算法】线性回归算法
- 51单片机学习笔记——OLED贪吃蛇
- 停车还能360全方位影像_什么是360全景?
- 数码管显示 0-9999计数器
- k8s使用命令报错:error: You must be logged in to the server (Unauthorized)
- ML:可解释性之SHAP值的公式推导(基于原论文利用树类模型的Tree SHAP公式推导)之详细攻略
- 员工转正申请书_员工转正申请书
- 《​社会很单纯,复杂的是人-雾满拦江》
- linux IRQ Management(六)- DTS及调试
- 9月第2周业务风控关注 |国家计算机病毒应急处理中心:这十款App存在危险行为代码
- 亚马逊国际站获取商品列表
热门文章
- 自动驾驶 4-5 自行车模型的横向动力学 Lateral Dynamics of Bicycle Model
- hive插入多条数据sql_HIVE sql使用总结
- mysql注入扫描网站漏洞工具_SQL注入漏洞扫描工具
- How do I find the FC ID (WWN) of a scsi device/LUN on Red Hat Enterprise Linux?
- FCP-报表交付工程师考试经验
- 理财趣事:要想财富滚滚来 先学普京打野猪
- 车企进军手机市场,意在智能汽车
- CSAPP 第三版 第六章 家庭作业and so on
- 最新服务器主流硬盘,主流服务器的raid(磁盘阵列)配置
- docker启动elasticsearch容器put数据时: SERVICE_UNAVAILABLE/1/state not recovered /initialized