应急响应是指客户的机器遭到非法入侵后采取一系列措施,从而将损失降到最小
应急响应的排查思路主要有
系统账号启动项计划任务进程网络连接分析文件日志分析
Linux应急响应
系统账号
查看/etc/passwd文件,是否有可疑的账户
last命令查看用户的登录信息
启动项
检查启动项中是否存在异常任务,Linux的启动项在/etc/rc.rocal文件和/etc/rc.d/目录下
计划任务
检查计划任务中是否有异常的任务,Linux系统的计划任务保存在/var/spool/cron/目录下,以用户名命名
crontab -l -- 查看计划任务
crontab -e -- 编辑计划任务
进程
ps -aux查看进程信息,检查是否存在恶意进程
-a 显示所有进程-u 显示用户名-x 显示完整信息
网络连接
netstat -antlp查看网络连接,检查是否存在可疑的网络连接
-a 显示所有选项-n 显示数字信息-t 显示tcp连接-l 显示监听状态的链接-p 显示相关的程序名
分析文件
检查近期创建或修改的文件,分析可疑的文件
find / -mtime -1 根目录范围下,搜索1天内修改过的文件
/ 查找的范围(路径)-ctime 按照文件创建时间搜索(-n指n天内,+n指n天前)-mtime 根据文件更改时间搜索(-n指n天内,+n指n天前)-atime 根据文件访问时间搜索(-n指n天内,+n指n天前)-perm 根据权限查找 find -perm 777
Windows应急响应
系统账号
net user -- 查看系统账号
启动项
win+r打开运行窗口,输入shell:startup,检查开机启动项
计划任务
cmd输入taskschd.msc,检查计划任务,或者schtasks命令查看计划任务
进程
tasklist -- 查看进程
taskkill -- 结束进程
netstat -ano -- 查看网络连接
-a 显示所有端口-n 数字形式显示-o 显示关联的进程ID
shift粘滞键后门
按下5次shift键,检查弹出来的是不是系统的粘滞键
