入侵排查与响应-window和linux版

news2024/11/25 4:45:30

目录

(一)关于这方面的一些简单了解

1、我们的电脑为什么会被黑客入侵

2、黑客攻击的方式

(二)window入侵排查

1、查看异常特征

2、系统账户安全

3、检测异常端口、进程

4、查看启动项、计划任务、服务

5、检查系统相关信息

(三)linux入侵排查

1、linux系统排查

2、linux用户排查

3、linux文件和命令排查

4、linux启动项和定时任务排查

(四)window和linux的应急响应

1、事前准备:

2、事后处理:


(一)关于这方面的一些简单了解

1、我们的电脑为什么会被黑客入侵

黑客入侵,是为了达到他们的某种目的,可能是下面

  • 窃取数据:黑客可能会访问和下载目标系统中的敏感数据,如个人身份信息、银行账号、信用卡信息、公司机密等。

  • 加密勒索(勒索软件):黑客使用恶意软件(例如勒索软件)加密目标系统上的文件,然后要求受害者支付赎金以获取解密密钥。只有在支付赎金后,黑客才会提供解密文件所需的密钥。

  • 瘫痪服务:黑客可能会对目标系统进行拒绝服务(DDoS)攻击,通过使系统资源超载或不可用,从而导致服务停止或暂时瘫痪。

  • 挖矿:黑客可能会利用入侵的系统资源进行加密货币的挖矿。他们安装恶意软件,利用计算机的处理能力来生成或采矿加密货币,从而获得利润。

  • 跳板机(肉鸡):黑客在入侵过程中可能会在目标系统上安装后门程序,使其成为跳板机。通过利用跳板机,黑客可以隐藏其真实身份并进一步攻击其他系统或网络。

2、黑客攻击的方式

下面是实现他们这种目的方法:

  • DDoS(分布式拒绝服务攻击):指黑客利用多个计算机或设备同时向目标系统发送大量数据流量,以使其服务超载,从而导致系统无法正常运行或瘫痪。

  • 后门:后门是指黑客在未经授权的情况下在系统中留下的一种特殊程序或方法,使黑客能够绕过正常的认证和访问机制,从而在将来无需再次入侵就可以访问系统。

  • 漏洞:漏洞是指计算机系统、应用程序或网络中存在的错误或弱点,黑客可以利用这些弱点来入侵系统或执行恶意活动。修补漏洞是保持系统的关键任务之一。

  • 扫描:指黑客使用特定的工具或程序对网络或系统进行主动探测,以发现存在的漏洞、弱点或可攻击的目标。扫描通常是黑客攻击的前奏阶段。

  • 窃听:窃听是指未经授权的监听和拦截他人的通信或数据传输,以获取敏感信息。黑客可以通过各种手段(例如使用恶意软件或操纵网络流量)进行窃听。

  • 钓鱼:钓鱼是指黑客通过伪装成可信实体(如银行、社交媒体平台或其他组织)的方式,诱使用户提供个人信息、登录凭证或进行资金交易等。钓鱼通常通过欺骗用户而不是技术手段实施。

  • 干扰:干扰是指黑客有意地干扰或中断目标系统的正常运行。这可以包括破坏数据、篡改文件、停止服务或使系统出现错误等行为。

(二)window入侵排查

1、查看异常特征

第一步是先查看异常,是哪发生了异常,先查看一下发生异常的范围是多大,影响有多大,具体排查的内容是:

  • 操作异常:是否卡顿(资源调用频繁)、是否有报错的窗口、是否发生重启、是否蓝屏。可以直接使用资源管理器,或者是资源管理器的一些软件,查看
  • 资源异常:CPU、内存、网络
  • 文件异常:恶意文件、加密文件
  • 设备告警:防火墙,杀软,检测平台IDS,态势感知平台等,通过安全产品排查异常

2、系统账户安全

第二步,是查看登录账户 ,有些黑客入侵之后,下一步是想你的这台电脑,真正变成它的电脑,也就是,黑客不管什么时候控制,就能什么时候控制,他要实现这一步,就是提权的过程,添加用户就是常见的方式之一,所以我们要对用户进行查找

具体方式如下:

1、先看看弱口令用户和是否开启远程桌面协议

  • 弱口令用户,之所以查看弱口令用户,是因为弱口令用户,最容易被黑客攻破,如果你的电脑账户被攻破,用其账户进去登录,最有可能的账户,就是弱口令账户
  • 是否开启远程桌面协议:为了方面操作,黑客可能开启远程桌面协议,然后通过该协议,直接进行操作你的电脑,就不用命令式操作,查看命令 :netstat -an |findstr 3389
    如果没有开启,什么信息都没有,如下:

2、查看是否存在可疑账号

  • win+r,输入cmd中,再输入net user,与net user 用户名,这是着看所有用户,看看是否有异常用户
  •  win+r,输入lusrmgr.msc,查看所有用户

3、查看隐藏账号(黑客隐藏起来的账户)和克隆账户(黑客克隆账户,用来欺骗他人信息)

  • win+r,输入lusrmgr.msc,可以查看隐藏账号,隐藏账号的特征是再用户名后有$符号,例如aa$
  • 使用工具,例如D盾web查询工具等,可以查看隐藏彰化
  • 注册表查看,win+r,输入regedit。然后进入HKEY_LOCAL_MACHINE\SAM\SAM目录下可以查看所有账户,包括隐藏账户和克隆账户(如果不明白什么是克隆账户,和隐藏账户,可以查看文章https://blog.csdn.net/weixin_43598634/article/details/122902727)

4、查看登录时间:

win+r,输入eventvwr.msc,用事件查看器查看登录事件,查看安全日志,如果不明白日志信息,可以看看这篇文章https://blog.csdn.net/m0_73923817/article/details/128202250

3、检测异常端口、进程

查看端口和进程可以提供有关系统和网络活动的关键信息,有助于确定是否存在入侵或恶意活动的迹象,查看端口,看看有没有什么异常的服务被开启,一些服务是由漏洞,黑客可以通过漏洞然后进行提权、内网渗透等操作。查看进程是查看是否异常的进程运行我们为见过的程序,黑客,可能是靠恶意程序,例如木马,来反弹shell,

端口:

  • 1 查看系统自定义的端口情况:‪C:\Windows\System32\drivers\etc\services
  • 2 netstat -ano查看端口情况
  •  3 tasklist|findstr "进程号":查看进程号
  •  4 杀死服务:taskkill /f /t /im 服务名

 通过查看所有进程和端口号,配合查看系统自定义的端口,如果存在异常,可能是黑客开启的

进程:

  • 1,利用进程管理器,查看运行的进程,这是简单版,也可以使用微软提供的高级版软件ProcessExplorer,以进程树的方式查看进程,而已更加详细
  • 2、cmd中输入msinfo32,查看所有进程,如果不指定该服务软件是不是病毒,可以通过微步云沙箱进行查看:微步在线云沙箱 (threatbook.com)

  •  3、利用安全设备,例如D盾查看进程,

4、查看启动项、计划任务、服务

启动项、计划任务、服务这些地方都是黑客进行维权的地方,

  • 启动项是指在操作系统启动时自动执行的程序或脚本,如果在这里面植入病毒,效果就是,你每开机一次,病毒就会启动一次,这样就会反弹shell到黑客,黑客就能控制你的电脑。
  • 计划任务是预先设置的按计划执行的任务,可以在计算机空闲时执行某些操作,黑客可能设置计划任务,每个一段时间就执行他存放的病毒文件
  • 服务是在操作系统后台运行的程序或进程,提供特定的功能和服务,

启动项查看:

1、cmd输入msconfig
2、注册表(win+r,输入regedit)

  • HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

3、一些安全工具,例如火绒——安全工具——启动项管理

计划任务查看

win+r:输入taskschd.msc

win+r:输入compmgmt.msc

win+r:输入cmd:输入schtasks.exe

 服务查看:

win+r:输入services.msc

5、检查系统相关信息

1、查看关键的文件和目录,是否存在可以文件或目录,例如C:\User,添加用户之后,会生成一个以用户名为名的文件夹

2、查看最近打开的文件:在文件路径输入:%userprofile%\AppData\Roaming\Microsoft\Windows\Recent\

3、查看回收站、浏览器下载目录、浏览器历史记录

4、根据内容搜索恶意文件

  • 在cmd中,findstr /m/i/s "eval" *.php  查找.php后缀文件
  • 用everything、filelocator等专用软件进行高级搜索

5、查看最新修改文件:利用everything软件

(三)linux入侵排查

1、linux系统排查

1、查看CPU内存磁盘情况:

  • top -c -o %CPU
  • top -c -o %MEM
  • ps -aux --sort=-pcpu|head -10:显示当前运行进程的详细信息,并按照 CPU 使用率的降序进行排序,最后显示前10个占用 CPU 资源最多的进程
  • df -Th

2、查看系统进程情况

ps -ef:
ps -aux :
pstree:

3、查看网络连接情况

  • lsof -i
  • netstat -antpl
  • iptables -L

2、linux用户排查

1 系统用户
cat /etc/passwd:查看用户信息

awk -F: '$3==0{print $1}' /etc/passwd  查看超级用户(uid=0)

who:查看当前登录的用户

w:显示已登陆的用户,且在执行的命令

last:查看登录成功的用户

lastb:查看最近登录失败的用户

lastlog:查看所有用户最近登录的时间

2 审计日志

  • 整体日志:/var/log/message
  • 登录注销日志last:/var/log/wtmp
  • 登录日志lastlog:/var/log/lastlog
  • 登录失败日志lastb:/var/log/btmp
  • 当前用户w,who,users:/var/log/utmp
  • 定时任务日志:/var/log/cron
  • 系统应用登录日志:/var/log/secure
  • 软件安装日志:/var/log/yum.log

各种应用登录日志:

  • /var/log/vsftp.log
  • /var/log/httpd/access.log
  • /var/log/samba
  • /var/log/nfs
     

3 历史命令

  • history 

3、linux文件和命令排查

系统文件篡改:

  • find /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime -7 | xargs ls -alh

系统命令篡改():

  • vim ~/.bashrc

SSH key文件

  • cd /root/.ssh
  • cat authorized_keys

4、linux启动项和定时任务排查

chkconfig:

  • systemctl list-unit-files |grep sshd
  • chkconfig telnet on
  • chkconfig telnet off

systemctl

  • systemctl list-unit-files --type=service  | grep sshd
  • systemctl enable mysqld.service
  • systemctl disable mysqld.service

文件

  • /etc/rc.d/rc:这是一个脚本文件,通常用于系统启动时运行系统初始化脚本和服务。

  • /etc/rc:这是一个目录,它包含系统启动过程中运行的所有脚本。具体的脚本名称可能会因Linux发行版而异。

  • /etc/rc.local:这是一个用户自定义脚本文件,在系统启动时会执行其中的命令。您可以根据需要在此文件中添加自己的启动脚本或命令。

  • /etc/rc.d/rc.local:类似于/etc/rc.local文件,它也是用于在系统引导期间运行自定义脚本和命令的文件。但是,它专门用于一些发行版,如Red Hat Enterprise Linux (RHEL)和CentOS。

  • /etc/init/*.conf:用于配置和控制不同系统服务的配置文件

  • /etc/rc$runlevel.d/:包含了在系统不同运行级别(runlevel)下启动和停止服务所需的脚本

  • /etc/profile:用于设置用户登录时的环境变量、路径和初始命令等。

  • /etc/profile.d/:这是一个目录,其中包含用于设置系统环境变量和默认配置的脚本文件。这些文件会在用户登录时执行,并为每个用户的环境提供个性化的配置。

定时任务:

  • crontab -l
  • cat /etc/crontab
  • ll /etc/cron.*

(四)window和linux的应急响应

应急响应分两个阶段,当攻击发生之前,要做好准备,事情发生之后,也要对应的方法应对。

1、事前准备:

  • 数据备份:定期进行数据备份是防范数据丢失和恶意攻击的重要措施。确保备份数据的完整性和可靠性,并将其存储在安全的位置。备份的频率和恢复测试也值得关注,以确保在需要时可以迅速恢复数据。

  • 风险评估:进行风险评估可以帮助组织了解潜在的安全风险和威胁,进而采取相应的措施进行防范。风险评估通常包括识别和评估系统、网络和应用程序的漏洞和弱点,以及评估可能的影响和潜在损失。

  • 安全巡检:定期进行安全巡检可以发现系统和网络的潜在漏洞和安全威胁。这可能包括检查系统补丁和更新情况、访问控制策略、日志记录和监控机制等。及时发现和修复安全问题可以减少潜在的安全事件。

  • 应急演练:定期进行应急演练和模拟演习可以确保应急响应团队熟悉应急计划和流程,并提高其应对紧急情况的能力和效率。通过模拟实际的安全事件,可以识别和弥补响应过程中的不足之处。

  • 防范措施:采取适当的防范措施可以减少安全威胁的发生和影响。这包括使用防火墙、入侵检测系统、反恶意软件工具等,以及实施访问控制策略、密码策略和安全补丁更新等。

  • 安全培训:定期进行安全培训可以提高员工的安全意识,并帮助他们识别和应对安全威胁。培训内容可以涵盖密码安全、社会工程攻击、网络钓鱼等,以及关于应急响应的最佳实践。

2、事后处理:

  1. 信息收集:

    • 收集与安全事件相关的所有可用信息,包括日志、警报、监控数据等。
    • 确定攻击的时间、持续时间和受影响的系统或资源。
  2. 类型判断,是哪一种安全事件:

    • 根据收集到的信息和已有的安全知识,确定安全事件的类型,如DDoS攻击、恶意软件感染、数据泄露等。
  3. 原因分析:

    • 分析攻击者的行为模式和技术手段,找出攻击的原因和可能的目标。
    • 研究攻击者使用的工具和漏洞,以便加强未来的防御措施。
  4. 事件处置:

    • 隔离受攻击的系统或资源,以防止进一步扩散。
    • 执行修复措施,如关闭漏洞、删除恶意软件、重建受损的系统等。
    • 启动备份恢复策略,还原恢复受损的数据和系统。
  5. 编写报告:

    • 撰写详细的应急响应报告,包括事件描述、分析结果、处置过程和建议的改进措施。
    • 报告应包括足够的技术细节,以便其他安全团队或管理层了解事件的全貌。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/714349.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

三、eureka-server端和客户端配置文件讲解

常用配置文件设置 通过这张图理解为什么要进行文件配置 server 中常用的配置 server:port: 8761spring:application:name: eureka-servereureka:client:service-url: #eureka 服务端和客户端的交互地址,集群用,隔开defaultZone: http://localhost:8761/eureka #自己注册自…

中移物联车联网项目,在 TDengine 3.0 的应用

小T导读:在中移物联网的智慧出行场景中,需要存储车联网设备的轨迹点,还要支持对车辆轨迹进行查询。为了更好地进行数据处理,他们在 2021 年上线了 TDengine 2.0 版本的 5 节点 3 副本集群。 3.0 发布后,它的众多特性吸…

C语言入门篇(五)

前言   函数是 C 语言中的重要组成部分,它可以将程序分解为模块,提高代码的可读性和可维护性。   🍒本篇文章将详细介绍 C 语言中的函数。 函数 1. 函数是什么?2. 函数的分类2.1 库函数2.2 自定义函数 3. 函数的参数3.1 实际参…

select下拉框---无限滚动加载

需求: select的下拉框,后端做了分页,此时前段需要同步加分页 解决思路: 考虑到交互和性能,采用触底请求下一页(无限滚动加载) 代码示例: import { Select, message } from antd; im…

UE5.1.1 C++从0开始(16.作业5思路分享)

教程的链接:https://www.bilibili.com/video/BV1nU4y1X7iQ 总结一下这次的任务点: 用PlayerState来做一个Credit系统,需要在我们的ui内显示我们的分数更新血药对象,每次使用血药都会扣除相应的分数新增一个金币对象,…

【Python】Sphinx 文档生成器

目录 1. Sphinx 介绍 2. Sphinx 实战 2.1. 初始化 Sphinx 工程 2.2. 编译项目 2.3. Sphinx 主题 2.4. 增加 Sphinx 文档 1. Sphinx 介绍 Sphinx是一个Python文档生成器,它基于reStructuredText标记语言,可自动根据项目生成HTML,PDF等格式的文档。…

使用 OpenCV 进行按位运算和图像屏蔽

在本教程中,我们将了解如何使用按位运算 AND、OR、XOR 和 NOT。 图像处理中使用按位运算从图像中提取感兴趣区域 (ROI)。 正如您所看到的,两个矩形重叠的区域已被删除(黑色),因为在该区域中两个像素都大于 0。 按位非<

浅析代谢组学最常用到的数据分析方法 图形详解pca pls-da opls-da

代谢组学是一门对某一生物或细胞所有低分子质量代谢产物&#xff08;以相对分子质量<1000的有机和无机的代谢物为研究核心区&#xff09;进行分析的新兴学科。生物样本通过NMR、GC-MS、LC-MS等高通量仪器分析检测后&#xff0c;能产生大量的数据&#xff0c;这些数据具有高维…

网页版在线流程图绘制工具Diagram

网页地址&#xff1a;Diagram 可以将流程图保存为图片、网址等多种格式。 界面&#xff1a;

【PortAudio】PortAudio 音频处理库Demo

1. 介绍 PortAudio是一个免费、跨平台、开源的音频I/O库。看到I/O可能就想到了文件&#xff0c;但是PortAudio操作的I/O不是文件&#xff0c;而是音频设备。它能够简化C/C的音频程序的设计实现&#xff0c;能够运行在Windows、Macintosh OS X和UNIX之上&#xff08;Linux的各种…

SAP从入门到放弃系列之生产车间相关单据打印

文章目录概览 一、前言二、系统相关设置2.1、配置:1&#xff1a;2.2、配置点2&#xff1a;2.3、配置点3 三、主数据准备四、测试场景准备五、小结 一、前言 通常在项目实施的时候&#xff0c;如果没有MES&#xff0c;那么生产调度相关岗位下达订单后&#xff08;订单下达感觉没…

K8s部署微服务(springboot+vue)

文章目录 前言一、使用到的K8s资源1.1 Deployment1.2 Service 二、Springboot基础服务部署2.1 网关gateway2.2 鉴权auth2.3 文件file2.4 流程flow2.5 消息message2.6 组织org2.7 系统通用system2.8 用户user2.9 Node 三、Vue前端部署3.1 项目前端nginx3.2 静态资源服务nginx 四…

迪杰斯特拉算法(求最短路径)

迪杰斯特拉算法&#xff08;求最短路径&#xff09; 迪杰斯特拉算法用于查找图中某个顶点到其它所有顶点的最短路径&#xff0c;该算法既适用于无向加权图&#xff0c;也适用于有向加权图。 注意&#xff0c;使用迪杰斯特拉算法查找最短路径时&#xff0c;必须保证图中所有边…

相对位置编码(二) Relative Positional Encodings - Transformer-XL

1. Motivation 在Transformer-XL中&#xff0c;由于设计了segments&#xff0c;如果仍采用transformer模型中的绝对位置编码的话&#xff0c;将不能区分处不同segments内同样相对位置的词的先后顺序。 比如对于segmenti&#xfffd;&#xfffd;&#xfffd;&#xfffd;&…

pycharm安装opencv-python报错

问题一 通过pycharm中的Terminal窗口安装opencv-python错误如下&#xff1a; 上图所示为部分错误&#xff0c;全部错误如下&#xff1a; Building wheel for opencv-contrib-python (PEP 517) ... errorERROR: Complete output from command D:\anzhuanglujing\Anaconda\python…

从零开始之PID控制

从零开始系列之PID控制&#xff0c;宗旨就是以说人话的方式讲述它&#xff0c;真正的做到从零开始&#xff0c;小白一看就会&#xff0c;一学就废。 一、什么是PID控制&#xff1f; PID控制&#xff08;比例-积分-微分控制&#xff09;由比例单元&#xff08;Proportional&…

玩耍的猫咪【 InsCode Stable Diffusion 美图活动一期】

1️⃣ 工具介绍 InsCode是一个集成了在线IDE、在线AI编程、在线算力租赁、在线项目部署以及在线SD 模型使用的综合代码开发平台。 Stable Diffusion是目前最火的AI绘画工具之一&#xff0c;它是一个免费开源的项目。通过Stable Diffusion&#xff0c;可以很轻松的通过文字描述…

上半年结束,下半年继续冲!

前言: 这周直播也把雷神写的Ffmpeg推流器讲解完了&#xff0c;而一同时&#xff0c;一转眼间&#xff0c;2023年已经过半&#xff0c;正式进入了下半年&#xff1a; 因为上半年已经开始在做解析Ffmpeg 最新版本的源码&#xff0c;所以下半年&#xff0c;我会继续坚持讲解Ffmpeg…

“GPT+健康医疗”赋能医疗行业“数智化”发展,景联文科技提供高质量医疗数据库

近日&#xff0c;ChatGPT这个代表着通用版的大型语言模型以其出色的表现在全球互联网上引人注目。它所使用的GPT技术基础为人工智能应用开启了全新的世界。 “大模型时代已经到来。它已变成基础设施&#xff0c;变成算力&#xff0c;变成生产力。大模型可能有通用技术&#xf…

C++杂谈-友元和操作符重载

1、友元- friend 我的理解&#xff1a;通过设置友元函数和友元类来让外部函数来访问私有成员&#xff0c;这样虽然破坏了类的封装型和隐藏性&#xff0c;但是提高了程序的运行效率&#xff08;减少了某些安全性检查的过程&#xff09;。 友元函数和友元类统称友元&#xff0c;…