网络安全应急事件响应指导手册

网络安全应急事件响应指导手册

目录一、说明 5二、第1章勒索病毒 5一 状态判断 5(一) 电脑桌面被篡改 5(二) 文件后缀被篡改 6(三) 业务系统无法访问 6(四) 安全设备告警 7二 响应措施及应急处理流程 7(一) 隔离受感染的主机 7(二) 工作环境风险排除 7(三) 寻求专业的安全解决方案 8(四) 恢复系统 9三 应避免的错误处置行为 10(一) 使用移动存储设备 10(二) 读写中招主机上的磁盘⽂件 10四 防治建议 10(一) 增强安全意识 10(二) 增加口令强度 10(三) 修复系统/应用漏洞 10(四) 端口管理 11五 应急实例 11（一） Sage 11三、第2章挖矿木马 13一 状态判断 13(一) CPU使用率过高 13(二) 检测到异常外联 13二 响应措施及应急处理流程 13(一) 隔离受感染的主机 13(二) 清除木马及相关文件 13(三) 工作环境风险排除 13三 防治建议 14(一) 增强安全意识 14(二) 增加口令强度 14(三) 修复系统/应用漏洞 14(四) 端口管理 14(五) 防护软件 14四 应急实例 14（一） 挖矿病毒一 14（二） 挖矿病毒二 17四、第3章暴力破解 21一 状态判断 21（一） FTP暴力破解 21（二） SSH暴力破解 21（三） RDP暴力破解 21二 响应措施及应急处理流程 21（一） 登录账号口令检查 21（二） 服务转移或关闭 21（三） 安全日志审查 21三 防治建议 22四 应急实例 22（一） FTP暴力破解 22（二） SSH暴力破解 26五、第4章植入后门 29一 状态判断 29（一） 内容篡改 29（二） 异常进程/任务 29（三） 安全日志巡检 29（四） 系统信息查看 29二 响应措施及应急处理流程 29（一） 文件分析 29（二） 进程分析 29（三） 日志信息分析 30（四） 账户相关性检查 30三 防治建议 30四 应急实例 30（一） 网站被植入Webshell 30六、第5章劫持篡改 34一 状态判断 34(一) DNS劫持 34(二) http劫持 34(三) 网站内容劫持篡改 34(四) 搜索引擎劫持 34二 相应措施及应急处理流程 34(一) 网站劫持 34(二) 搜索引擎劫持 34(三) 网站内容被篡改 34三 防治建议 35四 应急实例 35（一） 新闻源网站劫持 35（二） 搜索引擎劫持 37（三） 网站首页被篡改 38（四） 管理员账号被篡改 41七、第6章证据固定 42一 日志记录 43二 规则/配置文件 43三 网络流量包 43四 DNS解析记录 43五 *恶意文件（需特别注意） 43八、第7章相关资料 44

说明本手册包含了勒索病毒、挖矿木马、暴力破解、后门植入以及劫持篡改五类常见应急事件的判断方法和处置措施，安全运维人员在遭遇上述事件时可参考使用。第1章勒索病毒勒索病毒，攻击者利用各种加密算法对数据文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。主要以邮件、程序木马、网页挂马等形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失，是近年来流行的病毒类型之一，主要有以下几种类型：对被攻击机器内的文件进行加密对磁盘分区直接加密劫持操作系统引导区，禁止用户正常登录操作系统状态判断电脑桌面被篡改计算机感染勒索病毒后，攻击者会在系统明显位置如桌面上留下标记，通常会出现新的文本/网页文件用于说明如何解密的信息。或直接更改桌面壁纸，显示勒索提示信息及解密联系方式，引导被攻击者交赎金。文件后缀被篡改勒索病毒一般会通过修改被加密文件的原始后缀来标识被其加密过的文件。被修改后的文件后缀通常为勒索病毒的名称或代表标志，如：Satan勒索常见后缀：.satan、.sick、.evopro等Sacrab勒索常见后缀：.krab、.Sacrab、.bomber、.Crash等Matrix勒索常见后缀：.GRHAN、.PRCP、.SPCT、.PEDANT等GANDCRAB勒索常见后缀：CRAB、.GRAB、KRAB、随机字母等业务系统无法访问于企业而言，勒索病毒的攻击目标自2018年开始不再局限于核心业务文件，企业的服务器及业务系统成为了攻击者的攻击目标。感染企业关键系统、破坏企业日常运营，甚至对生产线中难以升级、打补丁的系统和各种硬件进行攻击。但是当业务系统出现无法访问、生产线停产等现象时，并不能完全确定是服务器感染了勒索病毒，也有可能是受到DDoS攻击或是中了其他病毒等原因所致，所以还需要结合前面的特征来判断。安全设备告警部分安全软件/设备可支持勒索病毒的监测，可通过告警来判断。响应措施及应急处理流程隔离受感染的主机物理隔离物理隔离常用的操作方法是断网和关机。断网、拔掉网线或禁用网卡，笔记本也要禁用无线网络。逻辑隔离逻辑隔离常用的操作方法是加策略和修改登录密码。加策略主要操作步骤为：在网络侧使用安全设备进行进一步隔离，如防火墙或终端安全监测系统；避免将远程桌面服务（RDP，默认端口为3389）暴露在公网上（如为了远程运维方便确有必要开启，则可通过VPN登录后才能访问），并关闭445、139、135等不必要的端口。修改登录密码的主要操作为：首先，立刻修改被感染服务器的登录密码；其次，修改同一局域网下的其他服务器密码；最后，修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码，一般要求：采用大小写字母、数字、特殊符号混合的组合结构，口令位数足够长（15位、两种组合以上）。对于已经中毒的机器，建议在内网下线处理，后续确认清理病毒完毕确认无风险后才能重新接入网络，避免病毒横向传播导致局域网内其它机器被动染毒。工作环境风险排除在已经隔离被感染主机后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。内网其他未中毒的电脑，使用弱口令登录的建议尽快修改，使用由字母、数字和特殊字符组合的复杂密码，并杜绝多台机器使用同一密码，避免攻击者暴力破解成功（企业网管可配置强制使用强壮密码，杜绝使用弱密码登录），具体流程可参考以下部分：检查登录密码是否为弱密码，如：空密码，123456，111111，admin，5201314等。检查是否开启高风险服务、端口，如：21\22\23\25\80\135\139\443\445\3306\3389，以及不常见端口号。linux下root权限使用命令：netstat-tnlp；windows下使用命令netstat-ano|findstrLISTENLING，同时使用命令tasklist导出进程列表，找出可疑的正在监听端口对应的进程。终端用户若不使用远程桌面登录服务，建议关闭；局域网内已发生勒索病毒入侵的，可暂时关闭135，139，445，3389，5900端口以减少远程入侵的可能。检查机器防火墙是否开启，在不影响正常办公的情况下，建议开启防火墙。检查机器ipc空连接及默认共享是否开启，windows下使用netshare命令查看，若返回的列表为空即未开启，否则为开启默认共享。列表中出现C$\D$\E$分别代表默认共享出C、D、E盘文件，且在获取到windowsipc$连接权限后，可随意读写。该类共享用不到的情况下，建议关闭，关闭方法：netshareC$/del，netshareipc$/del等。检查机器是否关闭“自动播放”功能，方法：打开“运行”，输入gpedit.msc打开组策略选中计算机配置管理模板系统“关闭自动播放”，双击进入编辑界面，对所有驱动器选择启用关闭。此外，建议安装安全软件杜绝该类威胁，以防U盘等外接设备传播病毒木马。打开“运行”，输入：control.exe/nameMicrosoft.AutoPlay，弹出的设置对话框中，选择“不执行操作”。检查机器安装软件情况，是否有低版本有漏洞软件，如：FTPInternetAccessManager1.2、RejettoHTTPFileServer(HFS)2.3.x、FHFS-FTP/HTTPFileServer2.1.2等。检查本机office、adobe、web浏览器等软件是否更新到最新版本及安装最新补丁，以防钓鱼、挂马类攻击。检查本机系统补丁是否安装到最新，可使用安全终端提供的漏洞修复功能寻求专业的安全解决方案在应急自救处置后，建议第一时间联系专业的安全人员寻求帮助，对事件的感染时间、传播方式，感染家族等问题进行排查，进行更进一步的安全补救措施。恢复系统历史备份还原如果事前已经对文件进行了备份，那么我们将不会再担忧和烦恼。可以直接从云盘、硬盘或其他灾备系统中，恢复被加密的文件。值得注意的是，在文件恢复之前，应确保系统中的病毒已被清除，已经对磁盘进行格式化或是重装系统，以免插上移动硬盘的瞬间，或是网盘下载文件到本地后，备份文件也被加密。事先进行备份，既是最有效也是成本最低的恢复文件的方式。解密工具恢复大部分勒索病毒使用128位密钥的AES（对称加密算法）加密文件，再将AES的密钥使用2048位密钥的RSA（非对称加密算法）加密，通过暴力破解来解密是不科学的，所以通常的解密工具是通过已公开的密钥来解密。而密钥来源有三种途径：破解勒索程序得到，前提是勒索程序本身存在漏洞，但此概率极低。勒索者对受害人感到愧疚、同情等极端情况而公开密钥。执法机构获得勒索者的服务器，同时服务器上存储着密钥且执法机构选择公开。除了付费解密的工具，还可尝试国际刑警组织反勒索病毒网站提供的解密工具：（/zh/index.html）专业人员支付解密勒索病毒的赎金一般为比特币或其他数字货币，数字货币的购买和支付对一般用户来说具有一定的难度和风险。具体主要体现在：1）统计显示，95%以上的勒索病毒攻击者来自境外，由于语言不通，容易在沟通中产生误解，影响文件的解密。2）数字货币交付需要在特定的交易平台下进行，不熟悉数字货币交易时，容易人财两空。所以，即使支付赎金可以解密，也不建议自行支付赎金。但当数据十分重要且上述其他方法都无法恢复，最终经过综合评判，确定需要支付赎金以尝试解密时，也建议听取安全专家或警方人员的建议以及综合判断，谨慎处置。请联系专业的安全公司或数据恢复公司进行处理，以保证数据能成功恢复。重装系统当文件无法解密，也觉得被加密的文件价值不大时，也可以采用重装系统的方法，恢复系统。但是，重装系统意味着文件再也无法被恢复。另外，重装系统后需更新系统补丁，并安装杀毒软件和更新杀毒软件的病毒库到最新版本，而且对于服务器也需要进行针对性的防黑加固。应避免的错误处置行为使用移动存储设备部分勒索病毒具备感染移动设备的能力，此时若在病毒机器上使用移动设备，移动设备也将进一步被感染，形成一个移动的病毒源，进而给其它使用该设备的机器带来潜在风险。另外在染毒机器环境中插入移动设备，可能会导致移动设备中的重要数据也被加密，进而扩大灾情。读写中招主机上的磁盘⽂件当确认服务器已经被感染勒索病毒后，轻信网上的各种解密方法或工具，自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。很多流行勒索病毒的基本加密过程为：（1）将保存在磁盘上的文件读取到内存中；（2）在内存中对文件进行加密；（3）将修改后的文件重新写到磁盘中，并将原始文件删除。部分情况下，遭受勒索病毒攻击后，使用专业的文件恢复工具有概率进一步找到部分被加密文件加密前的原始数据，进而恢复出来。但当尝试使用网络中的不知名工具反复对磁盘进行读写操作，会破坏磁盘中存放的原始文件数据，进而丢失恢复原始文件的机会。防治建议增强安全意识不访问色情、博彩等等不良信息网站，这些网站通常会引导访客下载病毒文件或发动钓鱼、挂马攻击。不轻易下载陌生人发来的邮件附件，不点击陌生邮件中的链接。不随意使用陌生U盘、移动硬盘等外设，使用时切勿关闭防护软件比如Windows自带的Windowsdefender，避免拷入恶意文件。不轻易运行bat、vbs、vbe、js、jse、wsh、wsf等后缀的脚本文件和exe可执行程序，不轻易解压不明压缩文件，避免感染病毒。定期查杀病毒，清理可疑文件，备份数据。增加口令强度强密码长度不少于8个字符，至少包含以下四类字符中的三类：大小写字母、数字、特殊符号。不能是人名、计算机名、用户名、邮箱名等，避免攻击者利用服务弱口令进行攻击。修复系统/应用漏洞定期检测应用并修复漏洞，及时更新应用版本。关注微软安全响应中心（/zh-cn/security-updates），在微软发布高危漏洞公告后尽快修复系统存在的漏洞端口管理关闭不必要的端口，通过防火墙配置、安全软件隔离或准入管理，配置端口、服务访问权限。应急实例Sage应急场景网站管理员打开OA系统，首页访问异常，显示乱码：事件分析登录网站服务器进行排查，在站点目录下发现所有的脚本文件及附件都被加密为.sage结尾的文件，每个文件夹下都有一个!HELP_SOS.hta文件，打包了部分样本：打开!HELP_SOS.hta文件，显示如下：到这里，基本可以确认是服务器中了勒索病毒。处置措施上传样本到360勒索病毒网站（）进行分析：确认web服务器中了sage勒索病毒，目前暂时无法解密。绝大多数勒索病毒，是无法解密的，一旦被加密，即使支付也不一定能够获得解密密钥。在平时运维中应积极做好备份工作，数据库与源码分离（类似OA系统附件资源也很重要，也要备份）。可尝试的勒索病毒解密工具：“拒绝勒索软件”网站/zh/index.html360安全卫士勒索病毒专题

第2章挖矿木马攻击者将挖矿程序非法植入受害者的计算机中，在受害者不知情的情况下利用其计算机的算力进行挖矿，从而获取利益。这类挖矿程序即为挖矿木马。状态判断CPU使用率过高挖矿需要消耗大量的CPU资源，当发现服务器CPU使用率过高甚至接近100%，且查看系统进程发现有不明程序占用大量CPU资源时，服务器很大可能被种植了挖矿木马。检测到异常外联挖矿木马需要连接到矿池或者代理服务器将算力共享出去，当检测到服务器有主动的对外连接行为时，应当警惕服务器是否可能中毒。部分安全软件或设备内置了矿池黑名单，检测到流量中包含了矿池地址时会触发告警，但目前已经有黑客通过配置中间代理的方式来规避黑名单检测，因此建议综合CPU使用情况来判断中毒情况。响应措施及应急处理流程隔离受感染的主机建议将感染的主机在内网下线处理，避免病毒横向传播导致局域网内其它机器被动染毒。已感染的主机需要断网（拔掉网线或禁用网卡），待后续确认清理病毒完毕确认无风险后才能重新接入网络。清除木马及相关文件删除计划任务，结束病毒进程并删除服务删除下载或释放的病毒文件删除病毒创建的注册表项删除病毒设置的防火墙栏目工作环境风险排除在隔离被感染主机后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被攻击等，以确定感染的范围。具体排查项可参考以下部分：是否开启不必要的高危端口（如21、80、135、139、443、3389等）检查本机Office、Adobe、浏览器等软件是否更新到最新版本及安装最新补丁。检查本机系统补丁是否安装到最新。检查系统及数据库密码是否存在弱口令，口令要求长度不少于8位，至少包含以下四类字符中的三类：大小写字母、数字、特殊符号。系统是否安装专业的杀毒软件。防治建议增强安全意识不访问色情、博彩等等不良信息网站，这些网站通常会引导访客下载病毒文件或发动钓鱼、挂马攻击。不轻易下载陌生人发来的邮件附件，不点击陌生邮件中的链接。不随意使用陌生U盘、移动硬盘等外设，使用时切勿关闭防护软件比如Windows自带的Windowsdefender，避免拷入恶意文件。不轻易运行bat、vbs、vbe、js、jse、wsh、wsf等后缀的脚本文件和exe可执行程序，不轻易解压不明压缩文件，避免感染病毒。定期查杀病毒，清理可疑文件，备份数据。增加口令强度强密码长度不少于8个字符，至少包含以下四类字符中的三类：大小写字母、数字、特殊符号。不能是人名、计算机名、用户名、邮箱名等，避免攻击者利用服务弱口令进行攻击。修复系统/应用漏洞定期检测应用并修复漏洞，及时更新应用版本。关注微软安全响应中心（/zh-cn/security-updates），在微软发布高危漏洞公告后尽快修复系统存在的漏洞端口管理关闭不必要的端口，通过防火墙配置、安全软件隔离或准入管理，配置端口、服务访问权限。防护软件电脑上也要安装防护软件，例如火绒，卡巴斯基，360等，虽说不能做到完全的安全，但是也能有效的防止被入侵。应急实例挖矿病毒一应急场景重启服务器的时候，发现程序启动很慢，打开任务管理器，发现cpu被占用接近100%，服务器资源占用严重。事件分析登录网站服务器进行排查，发现多个异常进程：分析进程参数：wmicprocessgetcaption,commandline/value>>tmp.txt访问该链接：Temp目录下发现Carbon、run.bat挖矿程序：清除挖矿病毒：关闭异常进程、删除c盘temp目录下挖矿程序。处置措施根据实际环境路径，删除WebLogic程序下列war包及目录rm-f/home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.warrm-f/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.warrm-rf/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat挖矿病毒二应急场景发现主机向大量远程IP的445端口发送请求：使用各种杀毒软件查杀无果，虽然能识别出在C:\Windows\NerworkDistribution中发现异常文件，但即使删除NerworkDistribution后，每次重启又会再次生成。事件分析通过现象，找到对外发送请求的进程ID：4960进一步通过进程ID找到相关联的进程，父进程为1464找到进程ID为1464的服务项，逐一排查，我们发现服务项RemoteUPnPService存在异常。选择可疑服务项，右键属性，停止服务，启动类型：禁止。停止并禁用服务，再清除NerworkDistribution目录后，重启计算机。异常请求和目录的现象消失。又排查了几台主机，现象一致，就是服务项的名称有点变化。处置措施停止并禁用可疑的服务项，服务项的名称会变，但描述是不变的，根据描述可快速找到可疑服务项。可疑服务项描述：EnablesacommoninterfaceandobjectmodelfortheRemoteUPnPServicetoaccess删除服务项：ScdeleteRemoteUPnPService删除C:\Windows\NerworkDistribution目录重启计算机使用杀毒软件全盘查杀到微软官方网站下载对应操作系统补丁

第3章暴力破解暴力破解攻击是指攻击者通过系统地组合所有可能性（例如登录时用到的账户名、密码），尝试所有的可能性破解用户的账户名、密码等敏感信息。攻击者通常会对FTP、SSH、数据库、RDP协议等进行暴力破解攻击，企图从中获取敏感信息。状态判断FTP暴力破解FTP为文件传输协议，用户可通过该协议在远程主机上传或下载文件。当FTP遭受暴力破解攻击时，对应的网站响应速度可能会变慢，网站服务器运行速度异常。SSH暴力破解SSH协议主要用于给远程登录会话数据进行加密，是目前专为远程登录会话和其他网络服务提供安全性的协议。若网站管理员登录服务器进行日常巡检时，发现端口连接中存在可疑的连接记录，那么有可能是攻击者对该服务器的SSH连接口令、用户名进行暴力破解攻击。RDP暴力破解用于远程桌面登录的RDP协议，方便用户实时操作自己的计算机。于攻击者而言，成功破解登录账号密码，即可将该远程机器作为“肉鸡”，在上面种植木马、发起DDOS攻击等非法行为。当主机或防火墙/IPS日志中单一事件出现异常多的事件数，那么该计算机大概率遭受了暴力破解攻击。响应措施及应急处理流程登录账号口令检查当服务正在遭受暴力破解攻击时，第一时间先检查该服务的登录账号口令强度是否满足强口令要求。（口令要求长度不少于8位，至少包含以下四类字符中的三类：大小写字母、数字、特殊符号。）若不满足强口令要求，则修改口令，确保不会被轻易破解。服务转移或关闭限制服务的访问权限，设置为局域网可访问或直接关闭不必要的服务。若该服务必须开放，则可考虑更改服务默认端口。安全日志审查审计防火墙/IPS或主机安全日志，查看攻击者的攻击动作（是否爆破登录成功等）对正在遭受暴力破解攻击的服务，可使用Wireshark进行流量捕获，获取正在进行攻击行为的IP，从而可禁封该IP访问。防治建议禁用不必要的服务，若必须开放应限定管理IP地址并加强口令安全审计（口令长度不低于8位，由数字、大小写字母、特殊字符等至少两种以上组合构成）。更改服务默认端口。更改默认用户名。部署入侵检测设备，增强安全防护。修改账户锁定阀值，拒绝多次错误登录请求。连接频率过高或者错误次数超过限制则开始运用IP锁定策略。应急实例FTP暴力破解应急场景网站响应速度变得缓慢，网站服务器登录上去非常卡，重启服务器就能保证一段时间的正常访问，网站响应状态时而飞快时而缓慢，多数时间是缓慢的。针对网站服务器异常，系统日志和网站日志，是我们排查处理的重点。查看Window安全日志，发现大量的登录失败记录：事件分析安全日志分析：安全日志记录着事件审计信息，包括用户验证（登录、远程访问等）和特定用户在认证后对系统做了什么。打开安全日志，在右边点击筛选当前日志，在事件ID填入4625，查询到事件ID4625，事件数177007，从这个数据可以看出，服务器正则遭受暴力破解：进一步使用LogParser对日志提取数据分析，发现攻击者使用了大量的用户名进行爆破，例如用户名：fxxx，共计进行了17826次口令尝试，攻击者基于“fxxx”这样一个域名信息，构造了一系列的用户名字典进行有针对性进行爆破，如下图：登录类型8：网络明文（NetworkCleartext）这种登录表明这是一个像类型3一样的网络登录，但是这种登录的密码在网络上是通过明文传输的，WindowsServer服务是不允许通过明文验证连接到共享文件夹或打印机的，据我所知只有当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi。我们推测可能是FTP服务，通过查看端口服务及管理员访谈，确认服务器确实对公网开放了FTP服务。另外，日志并未记录暴力破解的IP地址，我们可以使用Wireshark对捕获到的流量进行分析，获取到正在进行爆破的IP：通过对近段时间的管理员登录日志进行分析，如下：管理员登录正常，并未发现异常登录时间和异常登录ip，这里的登录类型10，代表远程管理桌面登录。另外，通过查看FTP站点，发现只有一个测试文件，与站点目录并不在同一个目录下面，进一步验证了FTP暴力破解并未成功。处置措施关闭外网FTP端口映射删除本地服务器FTP测试SSH暴力破解应急场景网站管理员登录服务器进行巡检时，发现端口连接里存在两条可疑的连接记录，如下图：TCP初始化连接三次握手吧：发SYN包，然后返回SYN/ACK包，再发ACK包，连接正式建立。但是这里有点出入，当请求者收到SYS/ACK包后，就开始建立连接了，而被请求者第三次握手结束后才建立连接。客户端TCP状态迁移：CLOSED->SYN_SENT->ESTABLISHED->FIN_WAIT_1->FIN_WAIT_2->TIME_WAIT->CLOSED服务器TCP状态迁移：CLOSED->LISTEN->SYN_RECV->ESTABLISHED->CLOSE_WAIT->LAST_ACK->CLOSED当客户端开始连接时，服务器还处于LISTENING，客户端发一个SYN包后，服务端接收到了客户端的SYN并且发送了ACK时，服务器处于SYN_RECV状态，然后并没有再次收到客户端的ACK进入ESTABLISHED状态，一直停留在SYN_RECV状态。在这里，SSH（22）端口，两条外网IP的SYN_RECV状态连接，直觉告诉了管理员，这里一定有什么异常。事件分析系统账号情况：1、除root之外，是否还有其它特权用户(uid为0)[root@localhost~]#awk-F:'$3==0{print$1}'/etc/passwdroot2、可以远程登录的帐号信息[root@localhost~]#awk'/\$1|\$6/{print$1}'/etc/shadowroot:$6$38cKfZDjsTiUe58V$FP.UHWMObqeUQS1Z2KRj/4EEcOPi.6d1XmKHgK3j3GY9EGvwwBei7nUbbqJC./qK12HN8jFuXOfEYIKLID6hq0::0:99999:7:::可以确认目前系统只有一个管理用户root。确认攻击情况：1、统计了下日志，发现大约有126254次登录失败的记录，确认服务器遭受暴力破解[root@localhost~]#grep-o"Failedpassword"/var/log/secure|uniq-c126254Failedpassword2、输出登录爆破的第一行和最后一行，确认爆破时间范围：[root@localhost~]#grep"Failedpassword"/var/log/secure|head-1Jul820:14:59localhostsshd[14323]:Failedpasswordforinvaliduserqwefrom111.13.xxx.xxxport1503ssh2[root@localhost~]#grep"Failedpassword"/var/log/secure|tail-1Jul1012:37:21localhostsshd[2654]:Failedpasswordforrootfrom111.13.xxx.xxxport13068ssh23、进一步定位有哪些IP在爆破？[root@localhost~]#grep"Failedpassword"/var/log/secure|grep-E-o"(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq-c|sort-nr1262223.91.xxx.xxx8942114.104.xxx.xxx8122111.13.xxx.xxx7525123.59.xxx.xxx4、爆破用户名字典都有哪些？[root@localhost~]#grep"Failedpassword"/var/log/secure|perl-e'while($_=<>){/for(.*?)from/;print"$1\n";}'|uniq-c|sort-nr9402root3265invaliduseroracle1245invaliduseradmin1025invaliduseruser管理员最近登录情况：1、登录成功的日期、用户名、IP：[root@localhost~]#grep"Accepted"/var/log/secure|awk'{print$1,$2,$3,$9,$11}'Jul909:38:09root00Jul914:55:51root00Jul1008:54:26root00Jul1016:25:59root00通过登录日志分析，并未发现异常登录时间和登录IP。2、顺便统计一下登录成功的IP有哪些：[root@localhost~]#grep"Accepted"/var/log/secure|awk'{print$11}'|sort|uniq-c|sort-nr|more27通过日志分析，发现攻击者使用了大量的用户名进行暴力破解，但从近段时间的系统管理员登录记录来看，并未发现异常登录的情况，需要进一步对网站服务器进行入侵排查，这里就不再阐述。处置措施禁止向公网开放管理端口，若必须开放应限定管理IP地址并加强口令安全审计（口令长度不低于8位，由数字、大小写字母、特殊字符等至少两种以上组合构成）。更改服务器ssh默认端口。部署入侵检测设备，增强安全防护。

第4章植入后门后门是一种绕过认证或系统加密的方法，开发人员会出于某原因，可能为自己的程序构建后门程序。例如，为了提供简单的维护，开发人员引入了一个后门，可以恢复设备厂商的默认密码；同时攻击者也会将后门种植到有漏洞的服务器来接管服务器，执行攻击和上传恶意payload。状态判断内容篡改攻击者大概率会在计算机中新增文件或直接篡改文件内容来完成后门植入，为维持权限、实现更方便的操控计算机行为，攻击者或会增加新的账号信息、开放端口、修改系统配置文件。用户可检查计算机端口开放情况是否正常、系统配置文件是否正常、账户信息来判断是否被植入后门程序。异常进程/任务被植入后门的计算机可能会被作为“肉鸡”对其他计算机发起攻击行为，或利用该计算机获取敏感信息发送至远程攻击者的计算机内。因此通常会出现异常启动进行与计划任务、异常的远程连接来完成以上行为。安全日志巡检对主机的安全日志进行安全巡检，若发现出现大量恶意操作日志，则该计算机可能被植入后门程序。系统信息查看针对Windows系统，可使用PCHunter查看系统信息，根据颜色辨识，对红色的可疑进程进一步判断，然后清除恶意程序并关联注册表。针对Linux系统，可使用工具Chkrootkit和Rkhunter检测是否被植入后门、木马，检测系统命令是否正常等。响应措施及应急处理流程文件分析敏感目录的文件分析，针对可疑文件可以查看创建修改时间、访问时间的详细查看，若修改时间距离事件日期接近，有线性关联，说明可能被篡改或者其他。查看特殊权限的文件、隐藏的文件（以"."开头的具有隐藏属性的文件）。删除可疑文件。进程分析分析隐藏进程，可疑端口、可疑IP、可疑PID及程序进程。kill掉可疑进程，关闭不必要的端口，封禁可疑IP。查看当前的任务计划有哪些，是否有后门木马程序启动相关信息，删除不必要的启动程序。日志信息分析分析日志信息，命令操作痕迹，进一步排查溯源，记录关联到如下信息：wget远程某主机（域名&IP）的远控文件。尝试连接内网某主机（sshscp），便于分析攻击者意图。打包某敏感数据或代码，tarzip类命令。对系统进行配置，包括命令修改、远控木马类，可找到攻击者关联信息。账户相关性检查查看用户相关性，删除不必要的账号。Windows下可从控制面板-用户账户中查看账户信息；Linux下可使用cat/etc/passwd分析可疑帐号。防治建议安装正版杀毒软件、个人防火墙，并及时升级病毒库。使用系统安全漏洞扫描软件，打好补丁，弥补系统漏洞。不浏览不良网站，不随意下载安装可疑插件。不接收QQ、MSN、Email等传来的可疑文件。上网时打开杀毒软件实时监控功能。及时更新病毒库。不随意使用非正规软件。应急实例网站被植入Webshell应急场景网站管理员在站点目录下发现存在webshell：事件分析定位时间范围：Web日志分析：经过日志分析，在文件创建的时间节点并未发现可疑的上传，但发现存在可疑的webservice接口：漏洞分析：访问webservice接口，发现变量：buffer、distinctpach、newfilename可以在客户端自定义：漏洞复现：尝试对漏洞进行复现，可成功上传webshell，控制网站服务器处置措施清除webshell并对webservice接口进行代码修复。

第5章劫持篡改攻击者通过网站漏洞、浏览器插件等形式对网站的返回页内容或浏览器进行篡改，引导用户访问到博彩、广告页面。黑客甚至可能会通过网站漏洞，篡改页面内容或数据库内容。状态判断DNS劫持查看电脑及路由器设置的DNS地址，如发现可疑DNS地址，则说明电脑及路由器DNS地址遭篡改。http劫持访问正常网页，参数跟上了可疑数据。如在百度首页进行搜索时，展现的结果页地址链接为：/s?&wd=hao123&tn=92078526_hao_pg（正常情况下应该是/s?&wd=hao123）网站内容劫持篡改发现网站主页出现可疑数据，或直接跳转到可疑页面，说明主页被篡改。搜索引擎劫持利用搜索引擎查看收录情况，site网站，如出现可疑数据，则说明网站内容被恶意篡改。相应措施及应急处理流程网站劫持抓包查看跳转至被篡改页面的数据包返回包内容发现跳转到的链接对应文件位置后，删除相关文件对中间件配置文件进行排查，若配置文件被篡改，则删除恶意代理。搜索引擎劫持查找恶意插件、程序，并对相关文件的代码进行分析根据代码分析结果找到劫持相关程序后，删除恶意程序。网站内容被篡改利用被篡改的内容图片等信息确认被篡改时间根据发现的被篡改信息对访问日志进行溯源，查找可疑IP以及访问记录删除可疑文件，尝试还原攻击者攻击路径，修复可能存在的漏洞。防治建议恢复被篡改的配置文件内容删除恶意劫持程序对网站安全性进行巡检，及时修复网站、中间件漏洞应急实例新闻源网站劫持应急场景某新闻源网站首页广告链接被劫持到菠菜网站：有三个广告专题，链接形式如下：​

/zhuanti/yyysc/index.shtml​

/zhuanti/wwwsc/index.shtml​

/zhuanti/zzzsc/index.shtml点击这三条链接会跳转到博彩网站。简单抓包分析一下过程：可以发现此时这个返回页面已被劫持，并且加载了第三方js文件，/N/js/dt.js，进一步访问该文件：dt.js进一步加载了另一条js，访问/N/js/yz.js我们发现链接跳转到/?dt，进一步访问这个链接，网站为博彩链接导航网站，访问后会随机跳转到第三方赌博网站。处置措施找到url对应的文件位置，即使文件被删除，链接依然可以访问，可以发现三条链接都是以“sc”后缀。对Nginx配置文件进行排查，发现Nginx配置文件VirtualHost.conf被篡改，通过反向代理匹配以“sc”后缀的专题链接，劫持到63，该网站为博彩链接导航网站。删除恶意代理后，专题链接访问恢复。搜索引擎劫持应急场景从搜索引擎来的流量自动跳转到指定的网页。处置措施通过对index.php文件进行代码分析，发现该文件代码对来自搜狗和好搜的访问进行流量劫持。进一步跟着include函数包含的文件，index,php包含/tmp/.ICE-unix/../c.jpg。进入/tmp目录进行查看，发现该目录下，如c.jpg等文件，包含着一套博彩劫持的程序。网站首页被篡改应急场景网站首页被恶意篡改，比如复制原来的图片，PS一下，然后替换上去。事件分析确认篡改时间：通过对被篡改的图片进行查看，确认图片篡改时间为2018年04月18日19:24:07

访问日志溯源：通过图片修改的时间节点，发现可疑IP：113.xx.xx.24（代理IP，无法追溯真实来源），访问image.jsp（脚本木马），并随后访问