福建,
msconfig ![[Pasted image 20220721115735.png]]
• %WINDIR%
• %WINDIR%\system32\
• %TEMP%
•%LOCALAPPDATA%
• %APPDATA%
各个盘下的 temp(tmp)相关目录下查看有无异常文件 :Windows 产生的 临时文件 ![[Pasted image 20220721120233.png]]
%UserProfile%\Recent
根据文件夹内文件列表时间进行排序,查找可疑文件。当然也可以搜索指 定日期范围的文件及文件
查看文件时间,创建时间、修改时间、访问时间,黑客通过菜刀类工具改 变的是修改时间。所以如果修改时间在创建时间之前明显是可疑文件
![[Pasted image 20220721120346.png]]
netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED 显示网络连接、路由表和网络接口信息; -a 显示所有网络连接、路由表和网络接口信息 -n 以数字形式显示地址和端口号 -o 显示与每个连接相关的所属进程 ID -r 显示路由表 -s 显示按协议统计信息、默认地、显示 IP -b 显示在创建每个连接或侦听端口时涉及的可执行程序,需要管理员权限,这条指令对于查找可疑程序非常有帮助
状态说明 LISTENING 侦听状态 ESTABLISHED 建立连接 CLOSE_WAIT 对方主动关闭连接或网络异常导致连接中断 ![[Pasted image 20220721123519.png]]
![[Pasted image 20220721123908.png]]
wmic process | findstr "wininit.exe"
![[Pasted image 20220721132410.png]]
根据 netstat 定位出的 pid,再通过 tasklist 命令进行进程定位 tasklist 显示运行在本地或远程计算机上的所有进程
![[Pasted image 20220721125456.png]]
• wmic process(带有 cmdline) • wmic process list brief • wmic process where name=“xxxx” get executablepath
• wmic process where processid="2345" delete ![[Pasted image 20220721155529.png]]
- wmic SERVICE(涵盖服务关联所有信息)
- wmic SERVICE where caption(name)=”xxxxxx” call stopservice
- wmic SERVICE where caption(name)=“xxxxxx" call delete
![[Pasted image 20220721160019.png]]
wmic startup list full
schtasks /query /fo table /v 系统信息排查,主要查看环境变量 ![[Pasted image 20220721161018.png]]
Windows 计划任务
compmgmt.msc ![[Pasted image 20220721161202.png]]
query user logoff 踢出用户
查看systeminfo信息,系统版本以及补丁信息
PC Hunter 数字签名颜色说明:
- 黑色:微软签名的驱动程序;
- 蓝色:非微软签名的驱动程序;
- 红色:驱动检测到的可疑对象,隐藏服务、进程、被挂钩函数
主要分析安全日志,可以借助自带的筛选功能
可以把日志导出为文本格式,然后使用 notepad++ 打开,使用正则模式 去匹配远程登录过的 IP 地址,在界定事件日期范围的基础。
正则:
((?:(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))).){3}(?:25[0-5]|2[0-4]\d|((1\d{2})|([1- 9]?\d))))
![[Pasted image 20220721165341.png]]
关键目录
- /etc/passwd 用户开机文件
- /etc/rc.d/rc.local 开机文件项
- /root/.ssh 敏感目录的文件分析 类/tmp 目录 命令目录/usr/bin /usr/sbin 等 ls 用来显示目标列表
- -a 显示所有档案及目录(ls 内定将档案名或目录名称为“.”的视为影藏 ,不会列出);
- -C 多列显示输出结果。这是默认选项;
- -l 以长格式显示目录下的内容列表。输出的信息从左到右依次包括文件 名,文件类型、权限模式、硬连接数、所有者、组、文件大小和文件的最 后修改时间等;
- -t 用文件和目录的更改时间排序
查看 tmp 目录下的文件
ls –alt /tmp/
![[Pasted image 20220721172136.png]]
查看开机启动项内容
ls -alt /etc/init.d/,/etc/init.d 是 /etc/rc.d/init.d 的软链接
![[Pasted image 20220721172854.png]]
时间排序查看指定目录下文件
ls -alt | head -n 10
针对可疑文件可以使用 stat 进行创建修改时间、访问时间的详细查看,若 修改时间距离事件日期接近,有线性关联,说明可能被篡改或者其他 ![[Pasted image 20220721173642.png]]
~/.bash_history
查看操作系统用户信息文件 /etc/passwd
find:在指定目录下查找文件
- -type b/d/c/p/l/f 查是块设备、目录、字符设备、管道、符号、链接、普 通文件
- -mtime -n +n 按文件更改时间来查找文件,-n 指 n 天以内,+n 指 n 天前
- -atime -n +n 按文件访问时间来查找文件,-n 指 n 天以内,+n 指 n 天前
- -ctime -n +n 按文件创建时间来查找文件,-n 指 n 天以内,+n 指 n 天前 特殊权限的文件查看
find . -name *.jsp -perm 777查看隐藏文件ls -ar | grep "^\."![[Pasted image 20220721204953.png]]
crontab -u <-l, -r, -e>
- -u 指定一个用户
- -l 列出某个用户的任务计划
- -r 删除某个用户的任务
- -e 编辑某个用户的任务(编辑的是/var/spool/cron 下对应用户的 cron 文 件,也可以直接修改/etc/crontab 文件) ![[Pasted image 20220721205315.png]]
通过 crontab –l 查看当前的任务计划有哪些,是否有后门木马程序启动相 关信息;
查看 etc 目录任务计划相关文件,ls /etc/cron*
用 netstat 网络连接命令,分析可疑端口、可疑 IP、可疑 PID 及程序进程 ![[Pasted image 20220721210155.png]]
/etc/syslog 或 /etc/syslogd 或/etc/rsyslog.d /etc/syslog.conf 或 rsyslog.conf 日志类型 下面是和应急相关的常见日志类型,但并不是所有的 Linux 发行版都包含 这些类型: ![[Pasted image 20220721210405.png]] 日志优先级 ![[Pasted image 20220721212407.png]]
常用日志文件 ![[Pasted image 20220721212429.png]]
日志查看分析,主要为 grep,sed,sort,awk 的综合运用 /var/run/utmp:记录当前正在登录系统的用户信息,默认由 who 和 w 记录当前登录用户的信息,uptime 记录系统启动时间; /var/log/wtmp:记录当前正在登录和历史登录系统的用户信息,默认由 last 命令查看; /var/log/btmp:记录失败的登录尝试信息,默认由 lastb 命令查看。
![[Pasted image 20220721212936.png]]
![[Pasted image 20220721213524.png]]
![[Pasted image 20220721213534.png]]
![[Pasted image 20220721213544.png]]
last | awk '{print $3}' | sort | uniq -c | sort -n
![[Pasted image 20220721213738.png]]
![[Pasted image 20220721213906.png]]
![[Pasted image 20220721213949.png]]
![[Pasted image 20220721214039.png]]
Apache 默认自动生成两个日志文件,访问日志 access_log 和 error_log ![[Pasted image 20220721214238.png]]
![[Pasted image 20220721214559.png]]
查询访问量前十的 IP 地址
cat access.log | awk '{print $1}' | sort | uniq -c | sort -k 1 -n -r | head -10
查询访问量前十的 URL
cat access.log | awk '{print $7}' | sort | uniq -c | sort -k 1 -n -r | head -10
一、TPS:Transactions Per Second(每秒传输的事物处理个数),即服务器每秒处理的事务数。TPS 包括一条消息入和一条消息出,加上一次用户数据库访问。(业务 TPS = CAPS × 每个呼叫平均 TPS) TPS 是软件测试结果的测量单位。一个事务是指一个客户机向服务器发送请求然后服务器做出反应的过程。客户机在发送请求时开始计时,收到服务器响应后结束计时,以此来计算使用的时间和完成的事务个数。 一般的,评价系统性能均以每秒钟完成的技术交易的数量来衡量。系统整体处理能力取决于处理能力最低模块的 TPS 值。 二、QPS:每秒查询率 QPS 是对一个特定的查询服务器在规定时间内所处理流量多少的衡量标准,在因特网上,作为域名系统服务器的机器的性能经常用每秒查询率来衡量。 对应 fetches/sec,即每秒的响应请求数,也即是最大吞吐能力。
![[Pasted image 20220721215856.png]]
查看分析 history (cat /root/.bash_history),曾经的命令操作痕迹,以便进一步排查溯源。运气好有可能通过记录关联到如下信息: a) wget 远程某主机(域名&IP)的远控文件; b) 尝试连接内网某主机(ssh scp),便于分析攻击者意图; c) 打包某敏感数据或代码,tar zip 类命令 d) 对系统进行配置,包括命令修改、远控木马类,可找到攻击者关联信息
awk -F: '{if($3==0)print $1}' /etc/passwd
![[Pasted image 20220721220856.png]]
查看 rc.local 文件(/etc/init.d/rc.local /etc/rc.local)
ls –alt /etc/init.d
![[Pasted image 20220721221103.png]]
lastb 使用 lastb 命令,用于显示用户错误的登录列表; 使用 last 命令,用于显示用户最近登录信息(数据源为/var/log/wtmp, var/log/btmp) ![[Pasted image 20220721221245.png]]
echo $PATH 分析有无敏感可疑信息 ![[Pasted image 20220721223131.png]]
strings 命令在对象文件或二进制文件中查找可打印的字符串;
分析 sshd 文件,是否包括 IP 信息
strings /usr/bin/.sshd | grep '[1-9]{1,3}.[1-9]{1,3}.'
查看 ssh 相关目录有无可疑的公钥存在 Redis(6379) 未授权恶意入侵,即可直接通过 redis 到目标主机导入公钥 目录: /etc/ssh ./.ssh
- 检测是否被植入后门、木马、rootkit
- 检测系统命令是否正常
- 检测登录日志 chkrootkit –n;如果发现有异常,会报出“INFECTED”字样 定时检测 chkrootkit 自带的脚本并没有包括定时检测部分,而考虑到该工具的作用 。建议编写一个脚本,并加入计划任务中。并把脚本加入 crontab 中:cp -p ./chkrootkit.sh /etc/cron.daily
rkhunter 主要功能: 系统命令(Binary)检测,包括 Md5 校验 Rootkit 检测 本机敏感目录、系统配置、服务及套间异常检测 三方应用版本检测
检查 ./rpm -Va > rpm.log 下图可知 ps, pstree, netstat, sshd 等等系统关键进程被篡改了
检查 Webshell 的排查可以通过文件、流量、日志三种方式进行分析,基于文件 的命名特征和内容特征,相对操作性较高,在入侵后应急过程中频率也比 较高
Webshell 的排查可以通过可根据 webshell 特征进行命令查找,简单的可使用(当然会存在漏报和误报)
find /var/www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval \(str_rot13|\.chr\(|\$\{\"\_P|eval\(\$\_R|file_put_contents\(\.\*\$\_|base64_decode'
河马 shell 查杀(shellpub.com)
find /var/www/html/ -type f -name '*.php'|xargs grep 'eval' |more
1.根据进程、连接等信息关联的程序,查看木马活动信息。 2.假如系统的命令(例如 netstat ls 等)被替换,为了进一步排查,需要 下载一新的或者从其他未感染的主机拷贝新的命令。 3.发现可疑可执行的木马文件,不要急于删除,先打包备份一份。 4.发现可疑的文本木马文件,使用文本工具对其内容进行分析,包括回连 IP 地址、加密方式、关键字(以便扩大整个目录的文件特征提取)等。