雷鋒網(wǎng)按：本文作者sm0nk@獵戶攻防實驗室，雷鋒網(wǎng)宅客頻道授權(quán)轉(zhuǎn)載，先知技術(shù)社區(qū)擁有全部內(nèi)容版權(quán)。媒體或商業(yè)轉(zhuǎn)載必須獲得授權(quán)，違者必追究法律責任。

1 事件分類

常見的安全事件：

Web入侵：掛馬、篡改、Webshell

系統(tǒng)入侵：系統(tǒng)異常、RDP爆破、SSH爆破、主機漏洞

病毒木馬：遠控、后門、勒索軟件

信息泄漏：拖褲、數(shù)據(jù)庫登錄（弱口令）

網(wǎng)絡(luò)流量：頻繁發(fā)包、批量請求、DDOS攻擊

2 排查思路

一個常規(guī)的入侵事件后的系統(tǒng)排查思路：

文件分析

a) 文件日期、新增文件、可疑/異常文件、最近使用文件、瀏覽器下載文件

b) Webshell 排查與分析

c) 核心應(yīng)用關(guān)聯(lián)目錄文件分析

進程分析

a) 當前活動進程 & 遠程連接

b) 啟動進程&計劃任務(wù)

c) 進程工具分析

      i. Windows:Pchunter

      ii. Linux: Chkrootkit&Rkhunter

系統(tǒng)信息

a) 環(huán)境變量

b) 帳號信息

c) History

d) 系統(tǒng)配置文件

日志分析

a) 操作系統(tǒng)日志

      i. Windows: 事件查看器（eventvwr）

      ii. Linux: /var/log/

b) 應(yīng)用日志分析

      i. Access.log

      ii. Error.log

3 分析排查

3.1 Linux系列分析排查

3.1.1 文件分析

敏感目錄的文件分析（類/tmp目錄，命令目錄/usr/bin /usr/sbin）

  例如:

  查看tmp目錄下的文件： ls –alt /tmp/

  查看開機啟動項內(nèi)容：ls -alt /etc/init.d/

  查看指定目錄下文件時間的排序：ls  -alt  | head -n 10

  針對可疑文件可以使用stat進行創(chuàng)建修改時間、訪問時間的詳細查看，若修改時間距離事件日期接近，有   線性關(guān)聯(lián)，說明可能被篡改或者其他。

新增文件分析

  例如要查找24小時內(nèi)被修改的JSP文件： find ./ -mtime 0 -name "*.jsp"

  （最后一次修改發(fā)生在距離當前時間n24小時至(n+1)24 小時）

  查找72小時內(nèi)新增的文件find / -ctime -2

  PS：-ctime 內(nèi)容未改變權(quán)限改變時候也可以查出

  根據(jù)確定時間去反推變更的文件

  ls -al /tmp | grep "Feb 27"

特殊權(quán)限的文件

  查找777的權(quán)限的文件   find  /  *.jsp  -perm 4777  

隱藏的文件（以 "."開頭的具有隱藏屬性的文件）

在文件分析過程中，手工排查頻率較高的命令是 find grep ls 核心目的是為了關(guān)聯(lián)推理出可疑文件。

3.1.2 進程命令

使用netstat 網(wǎng)絡(luò)連接命令，分析可疑端口、可疑IP、可疑PID及程序進程

   netstat –antlp | more

使用ps命令，分析進程

ps aux | grep pid | grep –v grep 

將netstat與ps 結(jié)合，可參考vinc牛的案例：

（可以使用lsof -i:1677 查看指定端口對應(yīng)的程序）

使用ls 以及 stat 查看系統(tǒng)命令是否被替換。

兩種思路：第一種查看命令目錄最近的時間排序，第二種根據(jù)確定時間去匹配。

  ls -alt /usr/bin   | head -10

  ls -al /bin /usr/bin /usr/sbin/ /sbin/ | grep "Jan 15"

PS：如果日期數(shù)字<10，中間需要兩個空格。比如1月1日，grep “Jan  1”

隱藏進程查看

ps -ef | awk '{print}' | sort -n | uniq >1
ls /proc | sort -n |uniq >2
diff 1 2

3.1.3 系統(tǒng)信息

history (cat /root/.bash_history)
/etc/passwd
crontab  /etc/cron*
rc.local  /etc/init.d chkconfig
last
$PATH
strings

查看分析history (cat /root/.bash_history)，曾經(jīng)的命令操作痕跡，以便進一步排查溯源。運氣好有可能通過記錄關(guān)聯(lián)到如下信息：

   a) wget 遠程某主機（域名&IP）的遠控文件；

   b) 嘗試連接內(nèi)網(wǎng)某主機（ssh scp），便于分析攻擊者意圖;

   c) 打包某敏感數(shù)據(jù)或代碼，tar zip 類命令

   d) 對系統(tǒng)進行配置，包括命令修改、遠控木馬類，可找到攻擊者關(guān)聯(lián)信息…

查看分析用戶相關(guān)分析

  a) useradd userdel 的命令時間變化（stat），以及是否包含可疑信息

  b) cat /etc/passwd 分析可疑帳號，可登錄帳號

  查看UID為0的帳號：awk -F: '{if($3==0)print $1}' /etc/passwd

  查看能夠登錄的帳號：cat /etc/passwd  | grep -E "/bin/bash$"

  PS：UID為0的帳號也不一定都是可疑帳號，F(xiàn)reebsd默認存在toor帳號，且uid為0.（toor 在BSD官網(wǎng)解釋為root替代帳號，屬于可信帳號）

查看分析任務(wù)計劃

   a) 通過crontabl –l 查看當前的任務(wù)計劃有哪些，是否有后門木馬程序啟動相關(guān)信息；

   b) 查看etc目錄任務(wù)計劃相關(guān)文件，ls /etc/cron*

查看linux 開機啟動程序

   a) 查看rc.local文件（/etc/init.d/rc.local     /etc/rc.local）

   b) ls –alt /etc/init.d/

   c) chkconfig

查看系統(tǒng)用戶登錄信息

   a) 使用lastlog命令，系統(tǒng)中所有用戶最近一次登錄信息。

   b) 使用lastb命令，用于顯示用戶錯誤的登錄列表

   c) 使用last命令，用于顯示用戶最近登錄信息（數(shù)據(jù)源為/var/log/wtmp，var/log/btmp）

       utmp文件中保存的是當前正在本系統(tǒng)中的用戶的信息。

       wtmp文件中保存的是登錄過本系統(tǒng)的用戶的信息。

       /var/log/wtmp 文件結(jié)構(gòu)和/var/run/utmp 文件結(jié)構(gòu)一樣，都是引用/usr/include/bits/utmp.h 中的struct utmp

系統(tǒng)路徑分析

   a) echo $PATH 分析有無敏感可疑信息

指定信息檢索

   a) strings命令在對象文件或二進制文件中查找可打印的字符串

   b) 分析sshd 文件，是否包括IP信息strings /usr/bin/.sshd | egrep '[1-9]{1,3}.[1-9]{1,3}.'

   PS：此正則不嚴謹，但匹配IP已夠用

   c) 根據(jù)關(guān)鍵字匹配命令內(nèi)是否包含信息（如IP地址、時間信息、遠控信息、木馬特征、代號名稱）

查看ssh相關(guān)目錄有無可疑的公鑰存在。

   a) Redis（6379） 未授權(quán)惡意入侵，即可直接通過redis到目標主機導(dǎo)入公鑰。

   b) 目錄： /etc/ssh    ./.ssh/

3.1.4 后門排查

除以上文件、進程、系統(tǒng) 分析外，推薦工具：

    chkrootkit  rkhunter（www.chkrootkit.org   rkhunter.sourceforge.net）

? chkrootkit

(迭代更新了20年)主要功能：

檢測是否被植入后門、木馬、rootkit

檢測系統(tǒng)命令是否正常

檢測登錄日志

詳細參考README

? rkhunter主要功能：

系統(tǒng)命令（Binary）檢測，包括Md5 校驗

Rootkit檢測

本機敏感目錄、系統(tǒng)配置、服務(wù)及套間異常檢測

三方應(yīng)用版本檢測

? RPM check檢查

系統(tǒng)完整性也可以通過rpm自帶的-Va來校驗檢查所有的rpm軟件包,有哪些被篡改了,防止rpm也被替換,上傳一個安全干凈穩(wěn)定版本rpm二進制到服務(wù)器上進行檢查

./rpm -Va > rpm.log

如果一切均校驗正常將不會產(chǎn)生任何輸出。如果有不一致的地方，就會顯示出來。輸出格式是8位長字符串,  c 用以指配置文件, 接著是文件名. 8位字符的每一個 用以表示文件與RPM數(shù)據(jù)庫中一種屬性的比較結(jié)果 。 . (點) 表示測試通過。.下面的字符表示對RPM軟件包進行的某種測試失?。?/p>

5 MD5 校驗碼
S 文件尺寸
L 符號連接
T 文件修改日期
D 設(shè)備
U 用戶
G 用戶組
M 模式e (包括權(quán)限和文件類型)

借用sobug文章案例：如下圖可知ps, pstree, netstat, sshd等等系統(tǒng)關(guān)鍵進程被篡改了

? Webshell查找

    Webshell的排查可以通過文件、流量、日志三種方式進行分析，基于文件的命名特征和內(nèi)容特征，相對操作性較高，在入侵后應(yīng)急過程中頻率也比較高。

可根據(jù)webshell特征進行命令查找，簡單的可使用(當然會存在漏報和誤報)

find /var/www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval \(str_rot13|\.chr\(|\$\{\"\_P|eval\(\$\_R|file_put_contents\(\.\*\$\_|base64_decode'

Webshell的排查可以通過

Github上存在各種版本的webshell查殺腳本，當然都有自己的特點，可使用河馬shell查殺（shellpub.com）

綜上所述，通過chkrootkit 、rkhunter、RPM check、Webshell Check 等手段得出以下應(yīng)對措施：

根據(jù)進程、連接等信息關(guān)聯(lián)的程序，查看木馬活動信息。

假如系統(tǒng)的命令（例如netstat ls 等）被替換，為了進一步排查，需要下載一新的或者從其他未感染的主機拷貝新的命令。

發(fā)現(xiàn)可疑可執(zhí)行的木馬文件，不要急于刪除，先打包備份一份。

發(fā)現(xiàn)可疑的文本木馬文件，使用文本工具對其內(nèi)容進行分析，包括回連IP地址、加密方式、關(guān)鍵字（以便擴大整個目錄的文件特征提?。┑取?/span>

3.1.5 日志分析

    日志文件 /var/log/message       包括整體系統(tǒng)信息 /var/log/auth.log        包含系統(tǒng)授權(quán)信息，包括用戶登錄和使用的權(quán)限機制等 /var/log/userlog         記錄所有等級用戶信息的日志。 /var/log/cron           記錄crontab命令是否被正確的執(zhí)行 /var/log/xferlog(vsftpd.log)記錄Linux FTP日志 /var/log/lastlog         記錄登錄的用戶，可以使用命令lastlog查看 /var/log/secure         記錄大多數(shù)應(yīng)用輸入的賬號與密碼，登錄成功與否 var/log/wtmp　　      記錄登錄系統(tǒng)成功的賬戶信息，等同于命令last var/log/faillog　　      記錄登錄系統(tǒng)不成功的賬號信息，一般會被黑客刪除   

1.日志查看分析，grep,sed,sort,awk綜合運用

2.基于時間的日志管理：

   /var/log/wtmp

   /var/run/utmp

   /var/log/lastlog(lastlog)

   /var/log/btmp(lastb)

3.登錄日志可以關(guān)注Accepted、Failed password 、invalid特殊關(guān)鍵字

4.登錄相關(guān)命令

     lastlog 記錄最近幾次成功登錄的事件和最后一次不成功的登錄    who 命令查詢utmp文件并報告當前登錄的每個用戶。Who的缺省輸出包括用戶名、終端類型、登錄日期及遠程主機    w 命令查詢utmp文件并顯示當前系統(tǒng)中每個用戶和它所運行的進程信息    users 用單獨的一行打印出當前登錄的用戶，每個顯示的用戶名對應(yīng)一個登錄會話。如果一個用戶有不止一個登錄會話，那他的用戶名把顯示相同的次數(shù)    last 命令往回搜索wtmp來顯示自從文件第一次創(chuàng)建以來登錄過的用戶    finger 命令用來查找并顯示用戶信息，系統(tǒng)管理員通過使用該命令可以知道某個時候到底有多少用戶在使用這臺Linux主機。   

5.幾個語句
       定位有多少IP在爆破主機的root帳號    grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more    登錄成功的IP有哪些    grep "Accepted " /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more      tail -400f demo.log #監(jiān)控最后400行日志文件的變化 等價與 tail -n 400 -f （-f參數(shù)是實時）      less demo.log #查看日志文件，支持上下滾屏，查找功能      uniq -c demo.log  #標記該行重復(fù)的數(shù)量，不重復(fù)值為1    grep -c 'ERROR' demo.log   #輸出文件demo.log中查找所有包行ERROR的行的數(shù)量   

3.1.6 相關(guān)處置

kill -9

chattr –i

rm 

setfacl

ssh 

chmod

3.2 Windows系列分析排查

3.2.1 文件分析

1.開機啟動有無異常文件

2.各個盤下的temp(tmp)相關(guān)目錄下查看有無異常文件

3.瀏覽器瀏覽痕跡、瀏覽器下載文件、瀏覽器cookie信息

4.查看文件時間，創(chuàng)建時間、修改時間、訪問時間。對應(yīng)linux的ctime mtime atime，通過對文件右鍵屬性即可看到詳細的時間（也可以通過dir /tc 1.aspx 來查看創(chuàng)建時間），黑客通過菜刀類工具改變的是修改時間。所以如果修改時間在創(chuàng)建時間之前明顯是可疑文件。

5.查看用戶recent相關(guān)文件，通過分析最近打開分析可疑文件

   a) C:\Documents and Settings\Administrator\Recent

   b) C:\Documents and Settings\Default User\Recent

   c) 開始,運行   %UserProfile%\Recent

6.根據(jù)文件夾內(nèi)文件列表時間進行排序，查找可疑文件。當然也可以搜索指定日期范圍的文件及文件件

Server 2008 R2系列

Win10 系列

7.關(guān)鍵字匹配，通過確定后的入侵時間，以及webshell或js文件的關(guān)鍵字（比如博彩類），可以在IIS 日志中進行過濾匹配，比如經(jīng)常使用:

8.

知道是上傳目錄，在web log 中查看指定時間范圍包括上傳文件夾的訪問請求
   findstr /s /m /I “UploadFiles” *.log
   某次博彩事件中的六合彩信息是six.js
   findstr /s /m /I “six.js” *.aspx
   根據(jù)shell名關(guān)鍵字去搜索D盤spy相關(guān)的文件有哪些
   for /r d:\ %i in (*spy*.aspx) do @echo %i
   ```

3.2.2 進程命令

1.netstat -ano 查看目前的網(wǎng)絡(luò)連接，定位可疑的ESTABLISHED

2.根據(jù)netstat 定位出的pid，再通過tasklist命令進行進程定位

3.通過tasklist命令查看可疑程序

3.2.3 系統(tǒng)信息

1.使用set命令查看變量的設(shè)置

2.Windows 的計劃任務(wù)；

3.Windows 的帳號信息，如隱藏帳號等

4.配套的注冊表信息檢索查看，SAM文件以及遠控軟件類

5.查看systeminfo 信息，系統(tǒng)版本以及補丁信息

   例如系統(tǒng)的遠程命令執(zhí)行漏洞MS08-067、MS09-001、MS17-010（永恒之藍）…

   若進行漏洞比對，建議使用Windows-Exploit-Suggester 

   https://github.com/GDSSecurity/Windows-Exploit-Suggester/

3.2.4 后門排查

PC Hunter是一個Windows系統(tǒng)信息查看軟件

http://www.xuetr.com/

功能列表如下：

1.進程、線程、進程模塊、進程窗口、進程內(nèi)存信息查看，殺進程、殺線程、卸載模塊等功能
2.內(nèi)核驅(qū)動模塊查看，支持內(nèi)核驅(qū)動模塊的內(nèi)存拷貝
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看，并能檢測和恢復(fù)ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看，并支持對這些Notify Routine的刪除
5.端口信息查看，目前不支持2000系統(tǒng)
6.查看消息鉤子
7.內(nèi)核模塊的iat、eat、inline hook、patches檢測和恢復(fù)
8.磁盤、卷、鍵盤、網(wǎng)絡(luò)層等過濾驅(qū)動檢測，并支持刪除
9.注冊表編輯
10.進程iat、eat、inline hook、patches檢測和恢復(fù)
11.文件系統(tǒng)查看，支持基本的文件操作
12.查看（編輯）IE插件、SPI、啟動項、服務(wù)、Host文件、映像劫持、文件關(guān)聯(lián)、系統(tǒng)防火墻規(guī)則、IME
13.ObjectType Hook檢測和恢復(fù)
14.DPC定時器檢測和刪除
15.MBR Rootkit檢測和修復(fù)
16.內(nèi)核對象劫持檢測
17.WorkerThread枚舉
18.Ndis中一些回調(diào)信息枚舉
19.硬件調(diào)試寄存器、調(diào)試相關(guān)API檢測
20.枚舉SFilter/Fltmgr的回調(diào)

PS：最簡單的使用方法，根據(jù)顏色去辨識——可疑進程，隱藏服務(wù)、被掛鉤函數(shù)：紅色，然后根據(jù)程序右鍵功能去定位具體的程序和移除功能。根據(jù)可疑的進程名等進行互聯(lián)網(wǎng)信息檢索然后統(tǒng)一清除并關(guān)聯(lián)注冊表。

Webshell 排查

1.可以使用hm

2.也可以使用盾類（D盾、暗組盾），如果可以把web目錄導(dǎo)出，可以在自己虛擬機進行分析

3.2.5 日志分析

1.打開事件管理器（開始—管理工具—事件查看/開始運行eventvwr）

2.主要分析安全日志，可以借助自帶的篩選功能

3.可以把日志導(dǎo)出為文本格式，然后使用notepad++ 打開，使用正則模式去匹配遠程登錄過的IP地址，在界定事件日期范圍的基礎(chǔ)，可以提高效率正則是：

 4.  ((?:(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))).){3}(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))))
   ```

強大的日志分析工具Log Parser

#分析IIS日志
LogParser.exe "select top 10 time, c-ip,cs-uri-stem, sc-status, time-taken from C:\Users\sm0nk\Desktop\iis.log" -o:datagrid

有了這些我們就可以對windows日志進行分析了 比如我們分析域控日志的時候，想要查詢賬戶登陸過程中，用戶正確，密碼錯誤的情況，我們需要統(tǒng)計出源IP，時間，用戶名時，我們可以這么寫（當然也可以結(jié)合一些統(tǒng)計函數(shù)，分組統(tǒng)計等等）：
LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT\_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT\_TOKEN(Strings,5,'|') AS Client_IP FROM 'e:\logparser\xx.evtx' WHERE EventID=675"

事件ID是很好的索引

Windows server 2008系列參考event ID：
4624 - 帳戶已成功登錄
4625 - 帳戶登錄失敗
4648 - 試圖使用明確的憑證登錄（例如遠程桌面）

3.2.6 相關(guān)處置

1.通過網(wǎng)絡(luò)連接鎖定的可疑進程，進行定位惡意程序后刪除(taskkill)

2.木馬查殺，可配合pchunter 進行進一步專業(yè)分析，使用工具功能進行強制停止以及刪除

3.最后清理后，統(tǒng)一查看網(wǎng)絡(luò)連接、進程、內(nèi)核鉤子等是否正常。

3.3 應(yīng)用類

Apache、tomcat、Nginx、IIS

無論任何web服務(wù)器其實日志需要關(guān)注的東西是一致的，即access_log和error_log。一般在確定ip地址后，通過:

find . access_log |grep xargs ip攻擊地址

find . access_log| grep xargs 木馬文件名

頁面訪問排名前十的IP
cat access.log | cut -f1 -d " " | sort | uniq -c | sort -k 1 -r | head -10
頁面訪問排名前十的URL
cat access.log | cut -f4 -d " " | sort | uniq -c | sort -k 1 -r | head -10
查看最耗時的頁面
cat access.log | sort -k 2 -n -r | head 10

在對WEB日志進行安全分析時，可以按照下面兩種思路展開，逐步深入，還原整個攻擊過程。

1.首先確定受到攻擊、入侵的時間范圍，以此為線索，查找這個時間范圍內(nèi)可疑的日志，進一步排查，最終確定攻擊者，還原攻擊過程。

2.一般攻擊者在入侵網(wǎng)站后，通常會上傳一個后門文件，以方便自己以后訪問。我們也可以以該文件為線索來展開分析。

4 應(yīng)急總結(jié)

1.核心思路是“順藤摸瓜”

2.碎片信息的關(guān)聯(lián)分析

3.時間范圍的界定以及關(guān)鍵操作時間點串聯(lián)

4.Web入侵類，shell定位很重要

5.假設(shè)與求證

6.攻擊畫像與路線確認

5 滲透反輔

1.密碼讀取

   a) Windows: Mimikatz

   b) Linux: mimipenguin

2.帳號信息

   a) 操作系統(tǒng)帳號

   b) 數(shù)據(jù)庫帳號

   c) 應(yīng)用帳號信息

3.敏感信息

   a) 配置信息

   b) 數(shù)據(jù)庫信息

   c) 服務(wù)端口信息

   d) 指紋信息

4.滾雪球式線性拓展

   a) 密碼口令類拓展（遠控）

   b) 典型漏洞批量利用

5.常見的入侵方式Getshell方法

   a) WEB入侵

       i. 典型漏洞：注入Getshell , 上傳Getshell，命令執(zhí)行Getshell，文件包含Getshell，代碼執(zhí)行Getshell，編輯器getshell，后臺管理Getshell，數(shù)據(jù)庫操作Getshell

       ii. 容器相關(guān)：Tomcat、Axis2、WebLogic等中間件弱口令上傳war包等，Websphere、weblogic、jboss反序列化，Struts2代碼執(zhí)行漏洞，Spring命令執(zhí)行漏洞

   b) 系統(tǒng)入侵

       i. SSH 破解后登錄操作

       ii. RDP 破解后登錄操作

       iii. MSSQL破解后遠控操作

       iv. SMB遠程命令執(zhí)行（MS08-067、MS17-010、CVE-2017-7494）

   c) 典型應(yīng)用

       i. Mail暴力破解后信息挖掘及漏洞利用

       ii. VPN暴力破解后繞過邊界

       iii. Redis 未授權(quán)訪問或弱口令可導(dǎo)ssh公鑰或命令執(zhí)行

       iv. Rsync 未授權(quán)訪問類

       v. Mongodb未授權(quán)訪問類

       vi. Elasticsearch命令執(zhí)行漏洞

       vii. Memcache未授權(quán)訪問漏洞

       viii. 服務(wù)相關(guān)口令（mysql ldap zebra squid vnc smb）

6 資源參考

https://www.waitalone.cn/linux-find-webshell.html

http://vinc.top/category/yjxy/

http://www.shellpub.com/

http://linux.vbird.org/linux_security/0420rkhunter.php

https://cisofy.com/download/lynis/

https://sobug.com/article/detail/27?from=message&isappinstalled=1

http://www.freebuf.com/articles/web/23358.html

https://www.microsoft.com/en-us/download/details.aspx?id=24659

http://www.cnblogs.com/downmoon/archive/2009/09/02/1558409.html

http://wooyun.jozxing.cc/static/drops/tips-7462.html

http://bobao.#/learning/detail/3830.html

https://yq.aliyun.com/ziliao/65679

http://secsky.sinaapp.com/188.html

http://blog.sina.com.cn/s/blog_d7058b150102wu07.html

http://www.sleuthkit.org/autopsy/

7 FAQ

1.應(yīng)急需求有哪些分類：

   a) 被誰入侵了？ 關(guān)聯(lián) 攻擊IP 攻擊者信息

   b) 怎么入侵的？ 關(guān)聯(lián) 入侵時間軸、漏洞信息

   c) 為什么被入侵？ 關(guān)聯(lián) 行業(yè)特性、數(shù)據(jù)信息、漏洞信息

   d) 數(shù)據(jù)是否被竊??？ 關(guān)聯(lián) 日志審計

   e) 怎么辦？ 關(guān)聯(lián) 隔離、排查分析、刪馬（解密）、加固、新運營

2.關(guān)于windows的日志工具（log parser）有無圖形界面版？

   Log Parser Lizard 是一款用Vc++.net寫的logParser增強工具。主要有以下特點：

   a) 封裝了logParser命令，帶圖形界面，大大降低了LogParser的使用難度。

   b) 集成了幾個開源工具，如log4net等。可以對IIS logs\EventLogs\active directory\log4net\File Systems\T-SQL進行方便的查詢。

   c) 集成了Infragistics.UltraChart.Core.v4.3、Infragistics.Excel.v4.3.dll等，使查詢結(jié)果可以方便的以圖表或E.  XCEL格式展示。

   d) 集成了常見的查詢命令，范圍包含六大模塊:IIS

   e) 可以將查詢過的命令保存下來，方便再次使用。

   PS:軟件是比較老的，對新系統(tǒng)兼容性不好，還是建議微軟原生態(tài)log parser

3.在linux日志中，有無黑客入侵后的操作命令的統(tǒng)計****

   a) 可以根據(jù)history信息進行溯源分析，但一般可能會被清除

   b) 還有方法是需要結(jié)合accton 和 lastcomm

4.  3.2.3 提到了Windows-Exploit-Suggester，有無linux版？

Linux_Exploit_Suggester https://github.com/PenturaLabs/Linux_Exploit_Suggester

5.有無linux自動化信息收集的腳本工具？

LinEnum  https://github.com/rebootuser/LinEnum

6.

7.有無綜合的取證分析工具

Autopsy 是sleuthkit提供的平臺工具，Windows 和 Linux磁盤映像靜態(tài)分析、恢復(fù)被刪文件、時間線分析，網(wǎng)絡(luò)瀏覽歷史，關(guān)鍵字搜索和郵件分析等功能

http://www.sleuthkit.org/autopsy/

8.關(guān)于業(yè)務(wù)邏輯的排查方法說明

新型業(yè)務(wù)安全中安全事件，例如撞庫、薅羊毛、支付、邏輯校驗等敏感環(huán)節(jié)，未在本文體現(xiàn)，所以后續(xù)有必要針對業(yè)務(wù)側(cè)的應(yīng)急排查方法歸納。

雷鋒網(wǎng)再次聲明：本文作者sm0nk@獵戶攻防實驗室，雷鋒網(wǎng)宅客頻道授權(quán)轉(zhuǎn)載，先知技術(shù)社區(qū)擁有全部內(nèi)容版權(quán)。媒體或商業(yè)轉(zhuǎn)載必須獲得授權(quán)，違者必追究法律責任。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。