应急响应是网络安全领域的重要环节,主要针对网络攻击或非法入侵后的紧急处理。本教学PPT主要讲解了如何排查攻击入侵的迹象,以及如何利用日志分析和特定工具来检测和应对这些问题。
被入侵的症状是识别问题的关键。常见的症状包括网页被篡改,如发现网站内容异常或不完整;粘滞键后门sethc.exe被利用,这通常是黑客通过替换系统文件植入的后门;日志缺失,黑客可能为了掩盖痕迹而删除或修改日志;异常进程或端口活动,这可能是非法程序在后台运行;异常账号的出现,比如未知的新用户或已知用户异常行为;以及WEBshell的存在,这是黑客在服务器上留下的远程控制工具。
WEB日志分析是排查入侵的重要手段。Apache和IIS是两种常用的Web服务器,它们的日志格式有所不同。Apache的固定格式记录了请求者IP、请求方法、HTTP状态码等信息,而IIS则有W3C扩展日志格式,包含了更丰富的数据,如服务器名称、时间戳等。通过对这些日志的分析,可以发现SQL注入、XSS跨站脚本攻击、Webshell执行等攻击行为的痕迹。
例如,SQL注入请求日志中可能出现带有SQL语句的URL,XSS攻击则可能包含JavaScript代码。Webshell的请求通常涉及可疑的文件路径或命令执行,如尝试访问系统目录。对于这些异常行为,需要及时识别并采取措施。
系统日志同样重要,尤其是Windows系统日志中的事件ID。异常账号创建、远程桌面端口开放、日志清除和异常账号登录等事件可能提示系统已被入侵。例如,ID624和ID636与账号创建有关,ID593表示远程桌面服务被启用,ID528则可能表明非授权登录。
针对WEBshell,不同类型的木马(如JSP、ASP、PHP)有不同的特征。例如,JSP木马常利用`Runtime`、`JspSpy`或`getParameter`,ASP木马可能涉及`Execute`和`request`,PHP木马可能使用`Eval`、`shell_exec`等函数。为检测这些后门,有专门的Windows和Linux平台查杀工具,如Windows下的Webshell检测工具和Linux下的后门检查工具。
总结来说,应急响应中的攻击入侵排查是一项复杂的工作,需要对WEB日志、系统日志有深入理解,并能识别各种攻击行为的特征。同时,掌握有效的检查工具是快速定位和解决安全问题的关键。通过不断学习和实践,网络安全专家可以更好地保护网络环境,防止和应对各种攻击。
