2024信息安全事件应急响应排查指南

netlocalgroupadministrators别名 netlocalgroupadministrators别名 administrators注释 管理员对计算机/域有不受限制的完全访问成员AdministratorWindows查看资源占用情况*/或者任务栏鼠标右键选择任务管理器Ctrl+shift+Esc点击上方*/或者任务栏鼠标右键选择任务管理器Ctrl+shift+Esc点击上方CPU/*taskmgr查看账户信息\\JAXSECnetusernetuser查看是否有非法用户，此方法不能查看到隐藏账户（$m\\JAXSECnetuserAdministratorAdministratorGuest命令成功完成。DefaultAccountWDAGUtilityAccounteth10使用netlocalgroup查看是否存在非法用户在管理组，使用语法：命令成功完成。命令成功完成。test$eth10wmic语法：wmicUserAccountgetDescription,name通过打开windows注册表查看用户的添加，使用语法：regedit//打开windows注册表，定位到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\，是否有其他账户000001F4的F值一样。reg reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Namesreg 000001F4的Freg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4-vF另外还需要排查正常账户是否存在弱口令，是否存在可暴力破解可能等！查看当前系统用户的会话quryuser（netus有哪些用户登录到服务器上，ID是多少，使用语法：queryuserlogoff踢出该用户，使用语法：logoffID查看进程和端口netstat-ano"ESTABLISHED"样例：netstat-ano|findstr"ESTABLISHED"TCP 3:22904 06:8080 7084/*netstat-r -r 显示路由表显示与每个连接相关的所属进程ID-o以数字形式显示地址和端口号-n显示所有网络连接、路由表和网络接口信息-a*/*/对方主动关闭连接或网络异常导致连接中断CLOSE_WAIT建立连接ESTABLISHED侦听状态LISTENING常见的状态说明：-s IP另外也可查看对应端口的PID，使用语法：netstat-ano|findstr"port"样例：netstat-ano|findstr"8080"netstattasklisttasklist|findstrPID样例：WeChatStore.exe 7084WeChatStore.exe 7084Console 4108,776K查看进程名或者PID关联的dll文件，使用语法：TASKLIST/m/FI"IMAGENAMEeqWeChatStore.exe"TASKLIST/m/FI"PIDeq3664"另外还可以通过tasklist来查看进程--PID--服务信息，使用语法：tasklist/svc根据wmic process获取进程的全路径，使用语法：wmic process|findstr"程序名"样例：wmicprocess|findstr"WeChatStore.exe"WeChatStore.exe"C:\ProgramFiles\WindowsApps\TencentWeChatLimited.forWindows10__x86sdtnhv12zgd7a\WeChatStore\WeChatStore.exe"查看最近使用的文件【运行win+ree分析最近打开文件是否存在可疑文件，或者使用语法：start%UserProfile%\Recent查看隐藏文件：dir/S/A:Hreg reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths查看浏览器记录查看浏览器访问记录，使用语法：reg query "Explorer\TypedURLs"hosts文件hostsDNSIPhosts语法：startC:\Windows\System32\drivers\etc\hosts查看计划任务使用at则确认是否为正常连接。使用语法：at //taskschd查看系统信息环境变量和启动项使用语法：msinfo32temp变量的所在位置PATHEXTwindows的后缀，有没有增加其他的路径到PATH变量中(对用户变量和系统变量都要进行排查)；正在运行任务，ID间等。也可以使用wmic来进行查看环境变量，使用语法：wmicENVIRONMENTgetcaption,name,VariableValue使用msconfig查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。使用语法：msconfig //打开系统配置，定位到启动项wmicSTARTUPgetCaption,Command,Location //Windows上所有启动项的名称与执行程序所在路径也可通过注册表来进行查看，使用语法：regedit/*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run//用户设置启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run//系统设置的启动项CurrentVersion\Run //这些启动项关乎着操作系统的正常运行*/还可以直接使用命令查询，使用语法：reg queryHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runreg queryHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runreg HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run查看日志Windows系统日志日志路径：C:\Windows\System32\winevt\Logs必看日志：Security.evtx、System.evtx、Application.evtx主要是查看安全日志，使用语法：eventvwr//打开事件查看器定位到Windows日志中的安全日志，可以通过筛选和查找进行日志分析，也可导出通过LogParser来进行分析。findstr/s/m/I“UploadFiles”*.log请求//findstr/s/m/I“UploadFiles”*.log请求//weblog中查看指定时间范围包括上传文件夹的访问查找具有关键字的日志内容，使用语法：*/*//R将搜索字符串作为一般表达式使用。/M如果文件含有匹配项，只打印其文件名。/I指定搜索不分大小写。/S在当前目录和所有子目录中搜索/*AppScan"*.logfindstr/s/i/r"selectscriptacunetixsqlmapwhoamijskyNetsparker流量分析WiresharkURLIP哪些端口、服务和目录，又使用了何种协议等等。自动化查杀1、病毒查杀检查方法：下载安全软件，更新最新病毒库，进行全盘扫描。2、webshell查杀检查方法：选择具体站点路径进行webshell查杀，建议使用两款webshell查杀工具同时查杀，可相互补充规则库的不足。for/rd:\%iin(*spy*.aspx)do@echo%i//shellfor/rd:\%iin(*spy*.aspx)do@echo%i//shellDspy相关的文件有哪些findstr/s/m/I“six.js”*.aspx//six.js互联网信息查看器被该地址攻击，使用语法：直接在互联网上搜索服务器的IP地址如果是自己服务器被攻击，可以通过互联网上面的威胁情报进行分析排查，使用语法：直接在威胁情报系统搜索攻击者IP/*微步在线威胁情报社区/VirusTotal https:///#/home/searchNSFOCUSTHREATINTELLIGENCE 5/360威胁情报中心/RedQueen安全智能服务平台/IntelHome.htmlIBMX-ForceExchange /AlienVault-OpenThreatExchange VenusEye威胁情报中心https:///*/备注：systeminfo查看补丁来对比，需要对补丁号熟悉，个人不是很推荐这种，但是可以使用来查看打补丁的一个数量情况来进行简单的初步判断，使用语法：systeminfo|findstrKBLinux查看历史命令为，使用语法：historycat~/.bash_history查看资源占用情况通过查看内存、CPU使用情况，定位出不正常的程序，使用语法：top*/*/shift+m以内存占用排序按1后，再输入shitf+p 以cpu占用排/*另外我们也可以使用free来查看，使用语法：free为了更直观，我们使用df来进行查看，使用语法：df-h然后进到跟目录使用du查看具体占用空间的目录，使用语法：du-h--max-depth=1//后面的如果二级目录不多的情况可以把1改为2.查看网卡情况查看网卡是否处于混杂模式，如果存在说明可能有嗅探器，使用语法：ifconfig|grepPROMISC//或者：iplink|grepPROMISC查看账户信息passw，是否有新增的非法账户（甚至是特权账户cat/etc/passwd|awk-F":"'{print$1,$3,$4,$7}'|grep'/.*sh'root00/bin/bashpostgres116119/bin/basharpwatch119122/bin/shcouchdb124129/bin/bash查看账户登录情况，使用语法：lastlog用户名端口来自最后登陆时间rootdaemonbinpts/1一2月1113:40:01+08002019**从未登录过****从未登录过**（登陆的，使用语法：awk-F":"'length($2)==0{print$1}'/etc/shadow查看当前系统用户的会话使用w（或者使用who）查看当前系统的会话，主要是查看当前有哪些用户w16:31:38up42min, 3w16:31:38up42min, 3users, loadaverage:0.00,0.05,0.08USERrooroorootTTY:0pts/0pts/1FROM:0 LOGIN@?xdm? 2.00s 0.31sIDLE JCPU PCPUWHAT:015:500.22s/usr/libexec/gnome-ses3.62s/usr/libexec/gnome-ter 16:21 10:28 0.04s 0.04s-bash查看进程和端口netstat查看目前的网络连接，定位可疑的ESTABLISHED以及开放的端口，使用语法：netstat-antloup|egrep'LIS|EST'//简化版的可以使用：netstat-ntupwatch实时监控外部网络实时连接情况，使用命令：watchnetstatntup使用ls查看对应的进程文件路径，使用语法：ls-l/proc/PID/exe样例：ls-l/proc/4356/exelrwxrwxrwx1rootroot02月 1113:06/proc/4356/exe->/usr/sbin/sshd查看端口连接情况，使用语法：lsofi:port //以数字显示端口情况使用：lsof-PnR-i:port样例：lsof-i:22lsof-i:22COMMAND PIDUSER FD TYPEDEVICESIZE/OFFNODENAMEsshd 8807root 3u IPv4253431 0t0 TCP*:sshsshd 8807root 4u IPv6253433 0t0 TCP*:sshsshd8892root3uIPv44466720t0TCPkali:ssh->:14207(ESTABLISHED)sshd8901test(ESTABLISHED)IPv44466720t0TCPkali:ssh->:14207查看对应的可执行文件，使用语法：lsofpPIDPID样例：lsof-p9698lsof:WARNING:can'tstat()fuse.gvfsd-fusefilesystem/run/user/1000/gvfsOutputinformationmaybeincomplete.COMMAND PIDUSER FD TYPE DEVICESIZE/OFF NODENAMEsshd9698rootcwdDIR253,022464/sshd9698rootrtdDIR253,022464/sshd9698roottxtREG253,08530403158569/usr/sbin/sshd使用ps查看对应的文件路径，使用语法：ps-ef|grepCOMMAND样例：ps-ef|grepsshdroot42131008:06?00:00:00/usr/sbin/sshd-Droot133324213013:17?00:00:00sshd:root@pts/0root140234213013:19?00:00:00sshd:[accepted]hosts文件hostsDNSIPhosts语法：cat/etc/hosts查看计划任务使用crontab来检查计算机与网络上的其它计算机之间的会话或计划任务，如有，则确认是否为正常连接。使用语法crontab-l也可以直接查看文件，使用语法：more/etc/crontabmore/etc/cron.dailymore/etc/cron.*查看最近登录情况查看最近登录情况，使用语法：lastbtest ssh:notty WedFeb1314:43-14:43 (00:00)testssh:nottyWedFeb1314:43-14:43(00:00)rootssh:nottyMonFeb1113:33-13:33(00:00)rootssh:nottyMonFeb1113:33-13:33(00:00)rootssh:nottyMonFeb1113:16-13:16(00:00)rootssh:nottyMonFeb1113:16-13:16(00:00)rootssh:nottyMonFeb1113:11-13:11(00:00)rootssh:nottyMonFeb1113:11-13:11(00:00)rootssh:nottyMonFeb1113:06-13:06(00:00)rootssh:nottyMonFeb1113:06-13:06(00:00)IP力破解。查看最近成功登录情况，使用语法：lastrootpts/1MonFeb1113:40-13:40(00:00)rootpts/1MonFeb1113:36-13:38(00:02)rootpts/129MonFeb1113:18-13:21(00:03)rootpts/2MonFeb1111:09-11:35(1+00:26)lastb可进行综合分析。查看环境变量和启动项使用env查看是否有异常的环境变量，使用语法：env //echo$PATH另外还需查看是否有异常的启动项，使用语法：ls-l/etc/rc.d/rc[0-6].d/|grepinit.d|sort|uniq-c ls-l/etc/rc[0-6].d/|grepinit.d|sort|uniq-c //Ubuntumore/etc/rc.local查看最近修改的文件查找最近修改的文件，主要是查看服务器支持的开发脚本文件，使用语法：find/-mtime0name*.jsp"//024小时内，148~24*/件名，而是匹配完整的文件名（包括路径）*/件名，而是匹配完整的文件名（包括路径）-regex不是匹配文-perm：按执行权限来查找-type：根据文件类型查找文件，普通文件：f-mmin-n：表示以当前时间为起点前n修改内存取过的文-mmin+n：表示n分钟前存取过的文件-mtime-nn-mtime+n：表示n天前修改过的文件-mtimen天前修改过的文件-ctimenn天内被修改过的文件/*find/-mmin-60-name"*.jsp"查看日志find/-regex'.*/access[._]log'locate-r'/access[._]log'Linux本都是/var/logsecureauth.log，webaccesserrorlocatefindfind/-regex'.*/access[._]log'locate-r'/access[._]log'-EPATTERNegrep-EPATTERNegrep。或操grep[option]patternfile作-o:只输出匹配的具体字符串,IP的访问频率并排序输出，使用语法：cat/var/log/apache2/access.log|awk'{print$1}'|uniq-c|sort-nr通过使用常见攻击特征进行分析日志，使用语法：egrep '(select|script|acunetix|sqlmap|whoami|jsky|Netsparker|AppScan)'/var/log/httpd/access_log/var/log/apache2/access.log/var/log/apache2/access.loggrep -E 如果木马做了免杀处理，可以查看是否使用加密函数find/-typef-name"*.php"|xargsgrep"base64_decode"是否做了拼接处理find/-typef-name"*.php"|xargsgrep"@$"secur（/var/lo/auth.lo失败的情况，使用语法：grep"Failedpassword"/var/log/secureFeb1315:55:51localhostsshd[9776]:Failedpasswordforinvalidusertestfromport2149ssh2grep-o"Failedpassword"/var/log/secure|uniq-c 1Failedpasswordgrep"Failedpassword"/var/log/secure|grep-E-o"(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|sort|uniq-c|sort-nr定位暴力破解IPgrep"Failedpassword"/var/log/secure|grep-E-o"(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|sort|uniq-c|sort-nr统计登录成功的IP有哪些，是否有异常IP，使用语法：grep"Accepted"/var/log/secure|awk'{print$11}'|sort|uniq-c|sort-nr流量分析使用tcpdump进行流量分析，使用语法：tcpdumptcp-ieth0-s0-c100-nn-w./target.cap/*tcp：ipicmparprarptcp、udp、icmp这些选项等都要放到第一个参数置，用来过滤数据报的类型-s0262-s026244btes（Ubunt-s0后可以抓到完整的数据包"-c10"1010010件的包。-w./target.cap：保存成cap文件，方便用wireshark分析-P：指定要抓取的包是流入还是流出的包。可以给定的值为"in"、"ou