超级会员免费看
网络安全应急响应
- 1.Linux应急响应
-
- 1.1 询问攻击情况范围
- 1.2 应急排查思路
- 1.3 判断事件类型
- 1.4 信息收集:
- 1.5 备份所有信息
- 1.6 断开网络
- 1.7 上机排查流程
-
- 1.7.1 使用top定位可疑进程
- 1.7.2 使用netstat查看网络连接
- 1.7.3 使用PS排查进程
- 1.7.4 排查恶意文件路径
- 1.7.5 history痕迹查找
- 1.7.6 使用在线沙箱分析
- 1.7.7 使用kill杀死进程
- 1.7.8 rm删除恶意文件
- 1.7.9 系统基本信息
- 1.7.10 用户信息
- 1.7.11 启动项
- 1.7.12 任务计划
- 1.7.13 清除预加载so
- 1.7.14 清除SSH公钥
- 1.7.15 防火墙配置
- 1.7.16 服务排查
- 1.7.17 扫描是否存在恶意驱动模块
- 1.7.18 辅助命令排查
- 1.7.19 排查环境变量
- 1.7.20 命令被替换
- 1.7.21 后门排查
- 1.7.22 日志分析
- 1.7.23 Web日志分析
- 1.7.24 数据库日志
- 日志分析工具
- Linux安全加固
- 重启服务器
- 内存分析
- 流量分析
- 威胁情报
- 挖矿木马排查流程
1.Linux应急响应
1.1 询问攻击情况范围
事件发生时的状况或安全设备告警等,能帮助应急处置人员快速分析确定事件类型,方便前期准备。
1.2 应急排查思路
入侵肯定会留下痕迹,另外重点强调的是不要一上来就各种查查查,问清楚谁在什么时间发现的主机异常情况,异常的现象是什么,受害用户做了什么样的紧急处理。问清楚主机异常情况后,需要动脑考虑为什么会产生某种异常,从现象反推可能的入侵思路,再考虑会在 Windows 主机上可能留下的痕迹,最后才是排除各种可能,确定入侵的过程。
分析入侵路径、入侵时间线:结合各类日志以及恶意代码本身,将有关证据进行关联分析,构造证据链,重现攻击过程。
分析恶意代码:找到恶意程序的特征,包括行为、释放的文件、网络通信等,从而得到识别、防御和删除该病毒的方法,使得我们的其他机器能够防得住该恶意程序的攻击。
1.3 判断事件类型
- 勒索病毒:
- 挖矿病毒:
- Webshell:
- 网页篡改:
1.4 信息收集:
- 事件类型:
- 事件时间
- 系统情况
- 处置措施
- 近期情况
订阅专栏 解锁全文
扫一扫
157
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
