【网络安全】企业应急响应基础技能

news2024/12/30 22:36:51

windows

任务计划列表

1. 计算机管理窗口,选择 系统工具 中 任务计划程序 中的 任务计划程序库选项 可以查看任务计划的名称,状态,触发器等详细信息

2.powershell中输入get-scheduledtask 可以查看当前系统所有任务计划信息

任务路径,名称,状态等详细信息

3.命令行中输入schtasks命令,获取任务计划信息

进程排查

对于windows系统排查中,找到恶意进程的pid,程序路径,还需要找到ppid以及程序加载的DLL

1. 通过任务管理器排查 

win+r taskmgr

右键name 添加命令行

2.通过tasklist排查

#tasklist 可以查看 每个进程提供的服务
  tasklist /svc    #显示每个进程和服务的对应情况
#tasklist可以查看每个进程加载了什么模块
  tasklist /m
#如果确定了某个模块是恶意模块可以查找启动了这个模块的服务的情况
  tasklist /m ntdll.dll

3.通过netstat命令进行排查

一般来说都是通过netstat定位出pid后再通过task list定位程序

服务排查

1. service.msc命令打开服务窗口 查看所有服务项 名称,秒速,状态等

文件痕迹排查

通常情况下可以对以下方面对文件痕迹进行排查

  1. 恶意软件常用的敏感路径进行排查

  2.确定了应急响应时间点后,对时间点前后的文件进行排查

  3.对带有特征的恶意软件进行排查,包含代码关键字或关键字函数,文件权限特征等

1.敏感目录

恶意程序一般会在程序中写好投放的路径,临时文件的路径相对统一,一般来说查看临时目录下是否有异常文件.

c:\windwos\tmp

2.预读取文件查看

Prefetch是预读取文件夹,用来存放系统已经访问过的文件的预读取信息,扩展名为pf.自动创建 prefetch文件夹是为了快系统启动进程

文件位置 c:\windows\Prefetch 

根据应急响应时间进行查看

1.根据时间点来查看forfiles命令

​
forfiles /p /m /s /c /d

/p Path : D:\xx|xx
/m searchmask    默认的searchmask是 *.* 例如 *.rar文件
/s forfiels 再子目录中搜索
/c command 在每个匹配的文件上运行指定的command,带有空格的命令字符串必须用双引号括起来默认的command是 "cmd /c echo @file"


/d +/-mm/dd/yyyy|dd

 对2022/2/12日以后的exe文件暴露出来  
forfiels /p c:\ /m *.exe /s /d +2022/2/12 /c "cmd /c echo @path @fdate @ftime " 2>null
​

2.webshell查找

可以通过D盾等

日志排查

系统日志
主要是windows各个组件在运行中产生的各种事件
系统中各种驱动程序在运行中出现的重大问题.操作系统的多种组件出现重大问题,应用软件出现重大问题

重大问题包括重要数据丢失,错误,以及系统产生的崩溃行为
安全性日志

安全日志记录了各种与安全相关的事件.包括登录与退出系统的成功不成功信息
对系统中各种重要资源进行操作,例如:系统文件的创建,删除,更改操作
应用程序日志

记录了各种应用程序产生的各类事件.
系统中sqlserver数据库被暴力破解时,会有相关的记录.包含对应时间相关的详细信息. 

事件级别

  • 错误:重大问题,包括数据丢失,功能损失,例如服务启动期间无法加载
  • 警告:潜在问题,例如 磁盘空间低,记录一个警告
  • 信息:程序和服务是否操作成功的事件 例如 网络驱动成功加载

日志被清除相关日志事件ID对应的描述

事件日志服务关闭  1100  信息  安全

事件日志被清除  104  信息  系统

事件日志被清除  1102  信息  安全

linux

查看用户信息

1. 查看系统所有用户信息

cat /etc/passwd

2.分析超级用户权限

awk -F:'{if($3=0)print $1}' /etc/passwd

3.查看可登录账户

cat /etc/passwd | grep /bin/bash

4.查看用户错误的登陆状态

lastb    #查看用户错误的登陆列表,错误的登录方法,IP地址,以及时间等等

5.查看所有用户的最后登陆状态

lastlog    

6.查看当前用户登录系统状态

who

7.查看空口令账户

awk -F : ' length($2)==0 {print $1}' /etc/shadow

启动项

#/etc/ini.d文件时自启动的内容

cat /etc/ini.d/rc.local   #查看init.d文件夹下的rc.local文件内容
cat /etc/rc.local         #查看rc.local文件内容
ls -alt /etc/init.d        #查看init.d文件夹下所有文件的详细信息

任务计划列表

1. crontab -l 命令查看当前的任务计划,指定用户进行查看

crontab -u root -l 查看root用户的任务计划

2.查看etcl下的任务计划文件

linux系统中的任务计划文件以cron开头,利用正则表达式的* 筛选所有以cron开头的文件

ls /etc/cron*

通常还包含任务计划的文件夹,* 代表文件夹下所有文件

/etc/crontab  /etc/cron.d/*
/etc/cron.daily/*  /etc/cron.hourly/*
/etc/cron.monthly/*  /etc/cron.weekly/
/etc/anacrontab

进程排查

netstat 查看网络连接

netstat -ano or netstat -pantl
#分析可疑端口可疑ip,可疑pid以及程序进程.

根据pid的值利用

#ls -alt /proc/pid命令查看其对应的可执行程序

ls -alt /proc/2963

利用lsof -p pid命令查看进程打开的文件

lsof -p 2963 #查看pid为1963进程打开的文件

查杀文件

1. 恶意进程使用kill命令结束
kill -9 pid
2.使用rm命令删除木马文件
rm -rf filename 
3.如果root用户无法删除,可能是该文件加上了i属性

lsattr filename    #查看文件属性
chattr -i filename    #移除i属性
4.如果存在守护进程而无法删除,通过先把进程挂起,查杀守护进程后,再将进程删除

服务排查

1.chkconfig --list 

chkconfig --list
atd     0:off    1:off    2:on    3:on    4:on  5:off    6:off

1单用户模式
2无网络连接的多用户命令行模式
3.有网络连接的多用户命令行模式
4.不可用
5.带图形界面的多用户模式
6.重新启动

2.service --status-all

查看所有服务的状态

文件痕迹排查

1. 敏感目录

/tmp 和~/.ssh和/etc/ssh的authorized_keys 存放黑客的公钥

2.时间点查找

  find命令

find :指定目录下查找文件

-type b/d/c/p/l/f 设备,目录 字符设备 管道 符号链接 普通文件

-mtime -n +n 文件更改时间查找 units:day

-atime -n +n 文件访问时间

-ctime -n +n 创建时间查找 

  stat命令

stat 命令能够详细查看文件的创建时间,修改时间和访问时间,修改时间距离应急响应时间日期接近,线性关联说明可能被篡改

stat /var/www/html/q.php查看这个文件的相关时间属性

3.对系统命令进行查询 ls 和ps命令等可能会被攻击者篡改

ls -alt /bin    #查看命令目录中相关系统命令的修改时间
ls -alh /bin   # 查看相关文件大小,如果明显i安达,则文件很可能被鹈鹕按

4.linux后门查杀

利用第三方查杀工具chkrootkit,rkhunter等检测rootkit是否被安装到当前系统中.

5.排查suid程序/查找suid程序

find / -type f -perm 04000 -ls -uid 0 2>/dev/null

 日志概述

linux日志存放在目录/var/log下
/var/log/wtmp  #登录进入,推出,数据交换,关机重启 即last
/vat/log/cron  #定时任务相关日志
/var/log/messages  #记录系统启动后的信息和错误日志
/var/log/apahce2/access.log 
/var/log/auth.log  #记录系统授权信息,包括用户登录和使用权限机制
/var/log/secure  #大多数应用输入的账号与密码以及登陆成功与否
/var/log/faillog  #记录登陆系统不成功的账号信息
/var/spool/mail  #命令查看邮件相关日志记录文件

 

网络安全零基础学习路线

对于从来没有接触过网络安全的同学,我帮你们准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

需要定制学习路线学习资料的评论区留言

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/612043.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

C++11:右值引用,实现移动语义和完美转发

目录 1、右值引用 2、移动语义(std::move) 3、完美转发(std::forward) 1、右值引用 右值引用(Rvalue reference)是C11引入的一个新特性,它是一种新的引用类型,用于表示将要被移动…

5个小时,搭出2套应用,这一低代码平台很强劲!

现代管理学之父德鲁克提及创新本质时,说了两点: 一是让昂贵的东西变得便宜,老百姓能用;二是让高门槛东西变得低门槛,普通人可用。 而低代码正符合这两个条件。 一、背景 所谓低代码,是一种软件开发方法&…

常用的LED显示屏驱动芯片和控制系统

常用的LED显示屏驱动芯片包括以下几种: TPIC6B595:这是一种串行输入、并行输出的LED显示屏驱动芯片,适用于驱动7段数码管等简单的LED显示屏。 MAX7219/MAX7221:这是一种常用的LED显示屏驱动器,可驱动8x8点阵LED显示屏。…

npm 发布新包或者新模块后,无法下载最新版本,如何解决?

目录 1、方法一:在npm官网搜索对应的模块,看看是否有最新版本的存在? 2、方法二:排查本地使用的是什么镜像? 3、方法三:将淘宝镜像切换成npm镜像 1、方法一:在npm官网搜索对应的模块&#xf…

运维小白必学篇之基础篇第十四集:DHCP中继实验

DHCP中继实验 目录 服务器端:(vmware5) 中继器端:(双网卡ens33、vmware5;ens36、vmware6) 客户端:(vmware6) 实验作业(主机名为自己的名字)&a…

WebGIS学习-01-GIS基础概念与Mapbox基础

1.地图数据来源 1.栅格数据: -.jpg,.png等图片数据; -卫星等拍摄的影像;.tiff 2.矢量数据: -geojson的数据,多用于绘制边界 -放大缩小都不会失真,且高度支持手绘 2.网页是如何渲染地图数据的 …

什么是压力测试?如何进行Jmeter压力测试

一、什么是压力测试 软件测试中:压力测试(Stress Test),也称为强度测试、负载测试。压力测试是模拟实际应用的软硬件环境及用户使用过程的系统负荷,长时间或超大负荷地运行测试软件,来测试被测系统的性能、…

深度学习-调参技巧总结

针对CNN优化的总结 使用没有 batchnorm 的 ELU 非线性或者有 batchnorm 的 ReLU。用类似1*1的网络结构预训练RGB数据, 能得到更好的效果。使用线性学习率衰退策略。使用平均和最大池化层的和。使用大约 128(0.005) 到 256 (0.01&a…

5.1 - Web漏洞 - XSS漏洞详解

「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 XSS漏洞 一、什么是XSS?二、XSS概述三、靶场练习四、XSS使用步骤五、XSS攻击类…

el-table动态表头数据渲染

desc:el-table的数据是后端动态返回的,包括表头的情况下如何进行渲染 // 第一页的数据 {"code": 1,"message": "查询成功","data": {"current": 1,"size": 10,"total": 41,"…

企业如何通过CRM系统做好客户管理?

企业如何通过CRM系统做好客户管理? CRM客户管理作为一种综合性的管理思想,可以帮助我们更好地了解客户需求和行为,制定更加精准的销售和服务策略,提高客户满意度和忠诚度,从而实现可持续发展。 接下来将给大家详细介…

SQL——事务

🎈 什么是事务 💧 概念 事务是用于保证数据的一致性,它由一组相关的DML(增、删、改)语句,该组的DML语句要么全部成功,要么全部失败。使用事务可以确保数据库的一致性和完整性,避免数据出现异常…

“微商城”项目(5登录和注册)

1.我的信息 在pages\User.vue文件中编写HTML结构代码&#xff0c;示例代码如下。 <template><div class"member"><div class"header-con"><router-link :to"{ name: login }" class"mui-navigate-right">&l…

段 寄 存 器-汇编复习(5)

图解演示8086CPU CS执行过程和逻辑 段 寄 存 器 8086CPU 在访问内存时要由相关部件提供内存单元的段地址和偏移地址,送入地址加法器合成物理地址。这里,需要看一下,是什么部件提供段地址。段地址在 8086CPU 的段寄存器中存放。8086CPU 有 4 个段存器: CS、DS、SS、ES。当80…

力扣刷题笔记——动态规划

动态规划基础 简称DP&#xff0c;如果某⼀问题有很多重叠⼦问题&#xff0c;使⽤动态规划是最有效的。 动态规划中每⼀个状态⼀定是由上⼀个状态推导出来的 1. 确定dp 数组&#xff08; dp table &#xff09;以及下标的含义 2. 确定递推公式 3. dp 数组如何初始化 4. 确定遍…

深度学习的分割方法

FCN&#xff1a;基于深度学习的语义分割模型 语义分割的定义&#xff1a;对像素进行精细化的分类。 用深度学习来解决语义分割&#xff0c;所面临的主要问题是&#xff1a; 早期的深度模型用于分类&#xff0c;输出一维向量&#xff0c;无法分割 深度模型不够精细 动机 如…

谈谈互联网广告拍卖机制的发展:从GSP到DeepAuction

广告作为各互联网公司收入的大头&#xff0c;其拍卖机制设计因此也是关乎营收最为核心的方面。所谓的广告拍卖机制设计是指如何将有限的广告位分配给合适的广告&#xff0c;从而达到客户、平台以及用户三方的价值最优。 当前的广告拍卖被建模为暗拍的形式&#xff0c;即N个广告…

ROS:launch启动文件的使用方法

目录 一、launch文件结构二、launch文件语法2.1根元素2.2参数设置2.3重映射、嵌套 三、示例3.1示例一3.2示例二3.3示例三3.4示例四 一、launch文件结构 由XML语言写的&#xff0c;可实现多个节点的配置和启动。 不再需要打开多个终端用多个rosrun命令来启动不同的节点了 可自动…

Swift 周报 第三十期

文章目录 前言新闻和社区App、App 内购买项目和订阅即将实行税率调整码出新宇宙Apple 公证服务更新Apple 设计大奖入围名单公布 提案通过的提案 Swift论坛推荐博文话题讨论关于我们 前言 本期是 Swift 编辑组自主整理周报的第二十一期&#xff0c;每个模块已初步成型。各位读者…

C++进阶 —— C++11新增容器

目录 一&#xff0c;array 二&#xff0c;forward_list 三&#xff0c;unordered unordered_set unordered_multiset unordered_map unordered_multimap 静态数组array、forward_list、unordered系列&#xff1b; 一&#xff0c;array array是固定大小尺寸的序列容器&am…