雷鋒網(wǎng)按：本文作者sm0nk@獵戶攻防實(shí)驗(yàn)室，雷鋒網(wǎng)宅客頻道授權(quán)轉(zhuǎn)載，先知技術(shù)社區(qū)擁有全部?jī)?nèi)容版權(quán)。媒體或商業(yè)轉(zhuǎn)載必須獲得授權(quán)，違者必追究法律責(zé)任。

1 事件分類

常見的安全事件：

Web入侵：掛馬、篡改、Webshell

系統(tǒng)入侵：系統(tǒng)異常、RDP爆破、SSH爆破、主機(jī)漏洞

病毒木馬：遠(yuǎn)控、后門、勒索軟件

信息泄漏：拖褲、數(shù)據(jù)庫(kù)登錄（弱口令）

網(wǎng)絡(luò)流量：頻繁發(fā)包、批量請(qǐng)求、DDOS攻擊

2 排查思路

一個(gè)常規(guī)的入侵事件后的系統(tǒng)排查思路：

文件分析

a) 文件日期、新增文件、可疑/異常文件、最近使用文件、瀏覽器下載文件

b) Webshell 排查與分析

c) 核心應(yīng)用關(guān)聯(lián)目錄文件分析

進(jìn)程分析

a) 當(dāng)前活動(dòng)進(jìn)程 & 遠(yuǎn)程連接

b) 啟動(dòng)進(jìn)程&計(jì)劃任務(wù)

c) 進(jìn)程工具分析

      i. Windows:Pchunter

      ii. Linux: Chkrootkit&Rkhunter

系統(tǒng)信息

a) 環(huán)境變量

b) 帳號(hào)信息

c) History

d) 系統(tǒng)配置文件

日志分析

a) 操作系統(tǒng)日志

      i. Windows: 事件查看器（eventvwr）

      ii. Linux: /var/log/

b) 應(yīng)用日志分析

      i. Access.log

      ii. Error.log

3 分析排查

3.1 Linux系列分析排查

3.1.1 文件分析

敏感目錄的文件分析（類/tmp目錄，命令目錄/usr/bin /usr/sbin）

  例如:

  查看tmp目錄下的文件： ls –alt /tmp/

  查看開機(jī)啟動(dòng)項(xiàng)內(nèi)容：ls -alt /etc/init.d/

  查看指定目錄下文件時(shí)間的排序：ls  -alt  | head -n 10

  針對(duì)可疑文件可以使用stat進(jìn)行創(chuàng)建修改時(shí)間、訪問(wèn)時(shí)間的詳細(xì)查看，若修改時(shí)間距離事件日期接近，有   線性關(guān)聯(lián)，說(shuō)明可能被篡改或者其他。

新增文件分析

  例如要查找24小時(shí)內(nèi)被修改的JSP文件： find ./ -mtime 0 -name "*.jsp"

  （最后一次修改發(fā)生在距離當(dāng)前時(shí)間n24小時(shí)至(n+1)24 小時(shí)）

  查找72小時(shí)內(nèi)新增的文件find / -ctime -2

  PS：-ctime 內(nèi)容未改變權(quán)限改變時(shí)候也可以查出

  根據(jù)確定時(shí)間去反推變更的文件

  ls -al /tmp | grep "Feb 27"

特殊權(quán)限的文件

  查找777的權(quán)限的文件   find  /  *.jsp  -perm 4777  

隱藏的文件（以 "."開頭的具有隱藏屬性的文件）

在文件分析過(guò)程中，手工排查頻率較高的命令是 find grep ls 核心目的是為了關(guān)聯(lián)推理出可疑文件。

3.1.2 進(jìn)程命令

使用netstat 網(wǎng)絡(luò)連接命令，分析可疑端口、可疑IP、可疑PID及程序進(jìn)程

   netstat –antlp | more

使用ps命令，分析進(jìn)程

ps aux | grep pid | grep –v grep 

將netstat與ps 結(jié)合，可參考vinc牛的案例：

（可以使用lsof -i:1677 查看指定端口對(duì)應(yīng)的程序）

使用ls 以及 stat 查看系統(tǒng)命令是否被替換。

兩種思路：第一種查看命令目錄最近的時(shí)間排序，第二種根據(jù)確定時(shí)間去匹配。

  ls -alt /usr/bin   | head -10

  ls -al /bin /usr/bin /usr/sbin/ /sbin/ | grep "Jan 15"

PS：如果日期數(shù)字<10，中間需要兩個(gè)空格。比如1月1日，grep “Jan  1”

隱藏進(jìn)程查看

ps -ef | awk '{print}' | sort -n | uniq >1
ls /proc | sort -n |uniq >2
diff 1 2

3.1.3 系統(tǒng)信息

history (cat /root/.bash_history)
/etc/passwd
crontab  /etc/cron*
rc.local  /etc/init.d chkconfig
last
$PATH
strings

查看分析history (cat /root/.bash_history)，曾經(jīng)的命令操作痕跡，以便進(jìn)一步排查溯源。運(yùn)氣好有可能通過(guò)記錄關(guān)聯(lián)到如下信息：

   a) wget 遠(yuǎn)程某主機(jī)（域名&IP）的遠(yuǎn)控文件；

   b) 嘗試連接內(nèi)網(wǎng)某主機(jī)（ssh scp），便于分析攻擊者意圖;

   c) 打包某敏感數(shù)據(jù)或代碼，tar zip 類命令

   d) 對(duì)系統(tǒng)進(jìn)行配置，包括命令修改、遠(yuǎn)控木馬類，可找到攻擊者關(guān)聯(lián)信息…

查看分析用戶相關(guān)分析

  a) useradd userdel 的命令時(shí)間變化（stat），以及是否包含可疑信息

  b) cat /etc/passwd 分析可疑帳號(hào)，可登錄帳號(hào)

  查看UID為0的帳號(hào)：awk -F: '{if($3==0)print $1}' /etc/passwd

  查看能夠登錄的帳號(hào)：cat /etc/passwd  | grep -E "/bin/bash$"

  PS：UID為0的帳號(hào)也不一定都是可疑帳號(hào)，F(xiàn)reebsd默認(rèn)存在toor帳號(hào)，且uid為0.（toor 在BSD官網(wǎng)解釋為root替代帳號(hào)，屬于可信帳號(hào)）

查看分析任務(wù)計(jì)劃

   a) 通過(guò)crontabl –l 查看當(dāng)前的任務(wù)計(jì)劃有哪些，是否有后門木馬程序啟動(dòng)相關(guān)信息；

   b) 查看etc目錄任務(wù)計(jì)劃相關(guān)文件，ls /etc/cron*

查看linux 開機(jī)啟動(dòng)程序

   a) 查看rc.local文件（/etc/init.d/rc.local     /etc/rc.local）

   b) ls –alt /etc/init.d/

   c) chkconfig

查看系統(tǒng)用戶登錄信息

   a) 使用lastlog命令，系統(tǒng)中所有用戶最近一次登錄信息。

   b) 使用lastb命令，用于顯示用戶錯(cuò)誤的登錄列表

   c) 使用last命令，用于顯示用戶最近登錄信息（數(shù)據(jù)源為/var/log/wtmp，var/log/btmp）

       utmp文件中保存的是當(dāng)前正在本系統(tǒng)中的用戶的信息。

       wtmp文件中保存的是登錄過(guò)本系統(tǒng)的用戶的信息。

       /var/log/wtmp 文件結(jié)構(gòu)和/var/run/utmp 文件結(jié)構(gòu)一樣，都是引用/usr/include/bits/utmp.h 中的struct utmp

系統(tǒng)路徑分析

   a) echo $PATH 分析有無(wú)敏感可疑信息

指定信息檢索

   a) strings命令在對(duì)象文件或二進(jìn)制文件中查找可打印的字符串

   b) 分析sshd 文件，是否包括IP信息strings /usr/bin/.sshd | egrep '[1-9]{1,3}.[1-9]{1,3}.'

   PS：此正則不嚴(yán)謹(jǐn)，但匹配IP已夠用

   c) 根據(jù)關(guān)鍵字匹配命令內(nèi)是否包含信息（如IP地址、時(shí)間信息、遠(yuǎn)控信息、木馬特征、代號(hào)名稱）

查看ssh相關(guān)目錄有無(wú)可疑的公鑰存在。

   a) Redis（6379） 未授權(quán)惡意入侵，即可直接通過(guò)redis到目標(biāo)主機(jī)導(dǎo)入公鑰。

   b) 目錄： /etc/ssh    ./.ssh/

3.1.4 后門排查

除以上文件、進(jìn)程、系統(tǒng) 分析外，推薦工具：

    chkrootkit  rkhunter（www.chkrootkit.org   rkhunter.sourceforge.net）

? chkrootkit

(迭代更新了20年)主要功能：

檢測(cè)是否被植入后門、木馬、rootkit

檢測(cè)系統(tǒng)命令是否正常

檢測(cè)登錄日志

詳細(xì)參考README

? rkhunter主要功能：

系統(tǒng)命令（Binary）檢測(cè)，包括Md5 校驗(yàn)

Rootkit檢測(cè)

本機(jī)敏感目錄、系統(tǒng)配置、服務(wù)及套間異常檢測(cè)

三方應(yīng)用版本檢測(cè)

? RPM check檢查

系統(tǒng)完整性也可以通過(guò)rpm自帶的-Va來(lái)校驗(yàn)檢查所有的rpm軟件包,有哪些被篡改了,防止rpm也被替換,上傳一個(gè)安全干凈穩(wěn)定版本rpm二進(jìn)制到服務(wù)器上進(jìn)行檢查

./rpm -Va > rpm.log

如果一切均校驗(yàn)正常將不會(huì)產(chǎn)生任何輸出。如果有不一致的地方，就會(huì)顯示出來(lái)。輸出格式是8位長(zhǎng)字符串,  c 用以指配置文件, 接著是文件名. 8位字符的每一個(gè) 用以表示文件與RPM數(shù)據(jù)庫(kù)中一種屬性的比較結(jié)果 。 . (點(diǎn)) 表示測(cè)試通過(guò)。.下面的字符表示對(duì)RPM軟件包進(jìn)行的某種測(cè)試失?。?/p>

5 MD5 校驗(yàn)碼
S 文件尺寸
L 符號(hào)連接
T 文件修改日期
D 設(shè)備
U 用戶
G 用戶組
M 模式e (包括權(quán)限和文件類型)

借用sobug文章案例：如下圖可知ps, pstree, netstat, sshd等等系統(tǒng)關(guān)鍵進(jìn)程被篡改了

? Webshell查找

    Webshell的排查可以通過(guò)文件、流量、日志三種方式進(jìn)行分析，基于文件的命名特征和內(nèi)容特征，相對(duì)操作性較高，在入侵后應(yīng)急過(guò)程中頻率也比較高。

可根據(jù)webshell特征進(jìn)行命令查找，簡(jiǎn)單的可使用(當(dāng)然會(huì)存在漏報(bào)和誤報(bào))

find /var/www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval \(str_rot13|\.chr\(|\$\{\"\_P|eval\(\$\_R|file_put_contents\(\.\*\$\_|base64_decode'

Webshell的排查可以通過(guò)

Github上存在各種版本的webshell查殺腳本，當(dāng)然都有自己的特點(diǎn)，可使用河馬shell查殺（shellpub.com）

綜上所述，通過(guò)chkrootkit 、rkhunter、RPM check、Webshell Check 等手段得出以下應(yīng)對(duì)措施：

根據(jù)進(jìn)程、連接等信息關(guān)聯(lián)的程序，查看木馬活動(dòng)信息。

假如系統(tǒng)的命令（例如netstat ls 等）被替換，為了進(jìn)一步排查，需要下載一新的或者從其他未感染的主機(jī)拷貝新的命令。

發(fā)現(xiàn)可疑可執(zhí)行的木馬文件，不要急于刪除，先打包備份一份。

發(fā)現(xiàn)可疑的文本木馬文件，使用文本工具對(duì)其內(nèi)容進(jìn)行分析，包括回連IP地址、加密方式、關(guān)鍵字（以便擴(kuò)大整個(gè)目錄的文件特征提?。┑?。

3.1.5 日志分析

    日志文件 /var/log/message       包括整體系統(tǒng)信息 /var/log/auth.log        包含系統(tǒng)授權(quán)信息，包括用戶登錄和使用的權(quán)限機(jī)制等 /var/log/userlog         記錄所有等級(jí)用戶信息的日志。 /var/log/cron           記錄crontab命令是否被正確的執(zhí)行 /var/log/xferlog(vsftpd.log)記錄Linux FTP日志 /var/log/lastlog         記錄登錄的用戶，可以使用命令lastlog查看 /var/log/secure         記錄大多數(shù)應(yīng)用輸入的賬號(hào)與密碼，登錄成功與否 var/log/wtmp　　      記錄登錄系統(tǒng)成功的賬戶信息，等同于命令last var/log/faillog　　      記錄登錄系統(tǒng)不成功的賬號(hào)信息，一般會(huì)被黑客刪除   

1.日志查看分析，grep,sed,sort,awk綜合運(yùn)用

2.基于時(shí)間的日志管理：

   /var/log/wtmp

   /var/run/utmp

   /var/log/lastlog(lastlog)

   /var/log/btmp(lastb)

3.登錄日志可以關(guān)注Accepted、Failed password 、invalid特殊關(guān)鍵字

4.登錄相關(guān)命令

     lastlog 記錄最近幾次成功登錄的事件和最后一次不成功的登錄    who 命令查詢utmp文件并報(bào)告當(dāng)前登錄的每個(gè)用戶。Who的缺省輸出包括用戶名、終端類型、登錄日期及遠(yuǎn)程主機(jī)    w 命令查詢utmp文件并顯示當(dāng)前系統(tǒng)中每個(gè)用戶和它所運(yùn)行的進(jìn)程信息    users 用單獨(dú)的一行打印出當(dāng)前登錄的用戶，每個(gè)顯示的用戶名對(duì)應(yīng)一個(gè)登錄會(huì)話。如果一個(gè)用戶有不止一個(gè)登錄會(huì)話，那他的用戶名把顯示相同的次數(shù)    last 命令往回搜索wtmp來(lái)顯示自從文件第一次創(chuàng)建以來(lái)登錄過(guò)的用戶    finger 命令用來(lái)查找并顯示用戶信息，系統(tǒng)管理員通過(guò)使用該命令可以知道某個(gè)時(shí)候到底有多少用戶在使用這臺(tái)Linux主機(jī)。   

5.幾個(gè)語(yǔ)句
       定位有多少IP在爆破主機(jī)的root帳號(hào)    grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more    登錄成功的IP有哪些    grep "Accepted " /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more      tail -400f demo.log #監(jiān)控最后400行日志文件的變化 等價(jià)與 tail -n 400 -f （-f參數(shù)是實(shí)時(shí)）      less demo.log #查看日志文件，支持上下滾屏，查找功能      uniq -c demo.log  #標(biāo)記該行重復(fù)的數(shù)量，不重復(fù)值為1    grep -c 'ERROR' demo.log   #輸出文件demo.log中查找所有包行ERROR的行的數(shù)量   

3.1.6 相關(guān)處置

kill -9

chattr –i

rm 

setfacl

ssh 

chmod

3.2 Windows系列分析排查

3.2.1 文件分析

1.開機(jī)啟動(dòng)有無(wú)異常文件

2.各個(gè)盤下的temp(tmp)相關(guān)目錄下查看有無(wú)異常文件

3.瀏覽器瀏覽痕跡、瀏覽器下載文件、瀏覽器cookie信息

4.查看文件時(shí)間，創(chuàng)建時(shí)間、修改時(shí)間、訪問(wèn)時(shí)間。對(duì)應(yīng)linux的ctime mtime atime，通過(guò)對(duì)文件右鍵屬性即可看到詳細(xì)的時(shí)間（也可以通過(guò)dir /tc 1.aspx 來(lái)查看創(chuàng)建時(shí)間），黑客通過(guò)菜刀類工具改變的是修改時(shí)間。所以如果修改時(shí)間在創(chuàng)建時(shí)間之前明顯是可疑文件。

5.查看用戶recent相關(guān)文件，通過(guò)分析最近打開分析可疑文件

   a) C:\Documents and Settings\Administrator\Recent

   b) C:\Documents and Settings\Default User\Recent

   c) 開始,運(yùn)行   %UserProfile%\Recent

6.根據(jù)文件夾內(nèi)文件列表時(shí)間進(jìn)行排序，查找可疑文件。當(dāng)然也可以搜索指定日期范圍的文件及文件件

Server 2008 R2系列

Win10 系列

7.關(guān)鍵字匹配，通過(guò)確定后的入侵時(shí)間，以及webshell或js文件的關(guān)鍵字（比如博彩類），可以在IIS 日志中進(jìn)行過(guò)濾匹配，比如經(jīng)常使用:

8.

知道是上傳目錄，在web log 中查看指定時(shí)間范圍包括上傳文件夾的訪問(wèn)請(qǐng)求
   findstr /s /m /I “UploadFiles” *.log
   某次博彩事件中的六合彩信息是six.js
   findstr /s /m /I “six.js” *.aspx
   根據(jù)shell名關(guān)鍵字去搜索D盤spy相關(guān)的文件有哪些
   for /r d:\ %i in (*spy*.aspx) do @echo %i
   ```

3.2.2 進(jìn)程命令

1.netstat -ano 查看目前的網(wǎng)絡(luò)連接，定位可疑的ESTABLISHED

2.根據(jù)netstat 定位出的pid，再通過(guò)tasklist命令進(jìn)行進(jìn)程定位

3.通過(guò)tasklist命令查看可疑程序

3.2.3 系統(tǒng)信息

1.使用set命令查看變量的設(shè)置

2.Windows 的計(jì)劃任務(wù)；

3.Windows 的帳號(hào)信息，如隱藏帳號(hào)等

4.配套的注冊(cè)表信息檢索查看，SAM文件以及遠(yuǎn)控軟件類

5.查看systeminfo 信息，系統(tǒng)版本以及補(bǔ)丁信息

   例如系統(tǒng)的遠(yuǎn)程命令執(zhí)行漏洞MS08-067、MS09-001、MS17-010（永恒之藍(lán)）…

   若進(jìn)行漏洞比對(duì)，建議使用Windows-Exploit-Suggester 

   https://github.com/GDSSecurity/Windows-Exploit-Suggester/

3.2.4 后門排查

PC Hunter是一個(gè)Windows系統(tǒng)信息查看軟件

http://www.xuetr.com/

功能列表如下：

1.進(jìn)程、線程、進(jìn)程模塊、進(jìn)程窗口、進(jìn)程內(nèi)存信息查看，殺進(jìn)程、殺線程、卸載模塊等功能
2.內(nèi)核驅(qū)動(dòng)模塊查看，支持內(nèi)核驅(qū)動(dòng)模塊的內(nèi)存拷貝
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看，并能檢測(cè)和恢復(fù)ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看，并支持對(duì)這些Notify Routine的刪除
5.端口信息查看，目前不支持2000系統(tǒng)
6.查看消息鉤子
7.內(nèi)核模塊的iat、eat、inline hook、patches檢測(cè)和恢復(fù)
8.磁盤、卷、鍵盤、網(wǎng)絡(luò)層等過(guò)濾驅(qū)動(dòng)檢測(cè)，并支持刪除
9.注冊(cè)表編輯
10.進(jìn)程iat、eat、inline hook、patches檢測(cè)和恢復(fù)
11.文件系統(tǒng)查看，支持基本的文件操作
12.查看（編輯）IE插件、SPI、啟動(dòng)項(xiàng)、服務(wù)、Host文件、映像劫持、文件關(guān)聯(lián)、系統(tǒng)防火墻規(guī)則、IME
13.ObjectType Hook檢測(cè)和恢復(fù)
14.DPC定時(shí)器檢測(cè)和刪除
15.MBR Rootkit檢測(cè)和修復(fù)
16.內(nèi)核對(duì)象劫持檢測(cè)
17.WorkerThread枚舉
18.Ndis中一些回調(diào)信息枚舉
19.硬件調(diào)試寄存器、調(diào)試相關(guān)API檢測(cè)
20.枚舉SFilter/Fltmgr的回調(diào)

PS：最簡(jiǎn)單的使用方法，根據(jù)顏色去辨識(shí)——可疑進(jìn)程，隱藏服務(wù)、被掛鉤函數(shù)：紅色，然后根據(jù)程序右鍵功能去定位具體的程序和移除功能。根據(jù)可疑的進(jìn)程名等進(jìn)行互聯(lián)網(wǎng)信息檢索然后統(tǒng)一清除并關(guān)聯(lián)注冊(cè)表。

Webshell 排查

1.可以使用hm

2.也可以使用盾類（D盾、暗組盾），如果可以把web目錄導(dǎo)出，可以在自己虛擬機(jī)進(jìn)行分析

3.2.5 日志分析

1.打開事件管理器（開始—管理工具—事件查看/開始運(yùn)行eventvwr）

2.主要分析安全日志，可以借助自帶的篩選功能

3.可以把日志導(dǎo)出為文本格式，然后使用notepad++ 打開，使用正則模式去匹配遠(yuǎn)程登錄過(guò)的IP地址，在界定事件日期范圍的基礎(chǔ)，可以提高效率正則是：

 4.  ((?:(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))).){3}(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))))
   ```

強(qiáng)大的日志分析工具Log Parser

#分析IIS日志
LogParser.exe "select top 10 time, c-ip,cs-uri-stem, sc-status, time-taken from C:\Users\sm0nk\Desktop\iis.log" -o:datagrid

有了這些我們就可以對(duì)windows日志進(jìn)行分析了 比如我們分析域控日志的時(shí)候，想要查詢賬戶登陸過(guò)程中，用戶正確，密碼錯(cuò)誤的情況，我們需要統(tǒng)計(jì)出源IP，時(shí)間，用戶名時(shí)，我們可以這么寫（當(dāng)然也可以結(jié)合一些統(tǒng)計(jì)函數(shù)，分組統(tǒng)計(jì)等等）：
LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT\_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT\_TOKEN(Strings,5,'|') AS Client_IP FROM 'e:\logparser\xx.evtx' WHERE EventID=675"

事件ID是很好的索引

Windows server 2008系列參考event ID：
4624 - 帳戶已成功登錄
4625 - 帳戶登錄失敗
4648 - 試圖使用明確的憑證登錄（例如遠(yuǎn)程桌面）

3.2.6 相關(guān)處置

1.通過(guò)網(wǎng)絡(luò)連接鎖定的可疑進(jìn)程，進(jìn)行定位惡意程序后刪除(taskkill)

2.木馬查殺，可配合pchunter 進(jìn)行進(jìn)一步專業(yè)分析，使用工具功能進(jìn)行強(qiáng)制停止以及刪除

3.最后清理后，統(tǒng)一查看網(wǎng)絡(luò)連接、進(jìn)程、內(nèi)核鉤子等是否正常。

3.3 應(yīng)用類

Apache、tomcat、Nginx、IIS

無(wú)論任何web服務(wù)器其實(shí)日志需要關(guān)注的東西是一致的，即access_log和error_log。一般在確定ip地址后，通過(guò):

find . access_log |grep xargs ip攻擊地址

find . access_log| grep xargs 木馬文件名

頁(yè)面訪問(wèn)排名前十的IP
cat access.log | cut -f1 -d " " | sort | uniq -c | sort -k 1 -r | head -10
頁(yè)面訪問(wèn)排名前十的URL
cat access.log | cut -f4 -d " " | sort | uniq -c | sort -k 1 -r | head -10
查看最耗時(shí)的頁(yè)面
cat access.log | sort -k 2 -n -r | head 10

在對(duì)WEB日志進(jìn)行安全分析時(shí)，可以按照下面兩種思路展開，逐步深入，還原整個(gè)攻擊過(guò)程。

1.首先確定受到攻擊、入侵的時(shí)間范圍，以此為線索，查找這個(gè)時(shí)間范圍內(nèi)可疑的日志，進(jìn)一步排查，最終確定攻擊者，還原攻擊過(guò)程。

2.一般攻擊者在入侵網(wǎng)站后，通常會(huì)上傳一個(gè)后門文件，以方便自己以后訪問(wèn)。我們也可以以該文件為線索來(lái)展開分析。

4 應(yīng)急總結(jié)

1.核心思路是“順藤摸瓜”

2.碎片信息的關(guān)聯(lián)分析

3.時(shí)間范圍的界定以及關(guān)鍵操作時(shí)間點(diǎn)串聯(lián)

4.Web入侵類，shell定位很重要

5.假設(shè)與求證

6.攻擊畫像與路線確認(rèn)

5 滲透反輔

1.密碼讀取

   a) Windows: Mimikatz

   b) Linux: mimipenguin

2.帳號(hào)信息

   a) 操作系統(tǒng)帳號(hào)

   b) 數(shù)據(jù)庫(kù)帳號(hào)

   c) 應(yīng)用帳號(hào)信息

3.敏感信息

   a) 配置信息

   b) 數(shù)據(jù)庫(kù)信息

   c) 服務(wù)端口信息

   d) 指紋信息

4.滾雪球式線性拓展

   a) 密碼口令類拓展（遠(yuǎn)控）

   b) 典型漏洞批量利用

5.常見的入侵方式Getshell方法

   a) WEB入侵

       i. 典型漏洞：注入Getshell , 上傳Getshell，命令執(zhí)行Getshell，文件包含Getshell，代碼執(zhí)行Getshell，編輯器getshell，后臺(tái)管理Getshell，數(shù)據(jù)庫(kù)操作Getshell

       ii. 容器相關(guān)：Tomcat、Axis2、WebLogic等中間件弱口令上傳war包等，Websphere、weblogic、jboss反序列化，Struts2代碼執(zhí)行漏洞，Spring命令執(zhí)行漏洞

   b) 系統(tǒng)入侵

       i. SSH 破解后登錄操作

       ii. RDP 破解后登錄操作

       iii. MSSQL破解后遠(yuǎn)控操作

       iv. SMB遠(yuǎn)程命令執(zhí)行（MS08-067、MS17-010、CVE-2017-7494）

   c) 典型應(yīng)用

       i. Mail暴力破解后信息挖掘及漏洞利用

       ii. VPN暴力破解后繞過(guò)邊界

       iii. Redis 未授權(quán)訪問(wèn)或弱口令可導(dǎo)ssh公鑰或命令執(zhí)行

       iv. Rsync 未授權(quán)訪問(wèn)類

       v. Mongodb未授權(quán)訪問(wèn)類

       vi. Elasticsearch命令執(zhí)行漏洞

       vii. Memcache未授權(quán)訪問(wèn)漏洞

       viii. 服務(wù)相關(guān)口令（mysql ldap zebra squid vnc smb）

6 資源參考

https://www.waitalone.cn/linux-find-webshell.html

http://vinc.top/category/yjxy/

http://www.shellpub.com/

http://linux.vbird.org/linux_security/0420rkhunter.php

https://cisofy.com/download/lynis/

https://sobug.com/article/detail/27?from=message&isappinstalled=1

http://www.freebuf.com/articles/web/23358.html

https://www.microsoft.com/en-us/download/details.aspx?id=24659

http://www.cnblogs.com/downmoon/archive/2009/09/02/1558409.html

http://wooyun.jozxing.cc/static/drops/tips-7462.html

http://bobao.#/learning/detail/3830.html

https://yq.aliyun.com/ziliao/65679

http://secsky.sinaapp.com/188.html

http://blog.sina.com.cn/s/blog_d7058b150102wu07.html

http://www.sleuthkit.org/autopsy/

7 FAQ

1.應(yīng)急需求有哪些分類：

   a) 被誰(shuí)入侵了？ 關(guān)聯(lián) 攻擊IP 攻擊者信息

   b) 怎么入侵的？ 關(guān)聯(lián) 入侵時(shí)間軸、漏洞信息

   c) 為什么被入侵？ 關(guān)聯(lián) 行業(yè)特性、數(shù)據(jù)信息、漏洞信息

   d) 數(shù)據(jù)是否被竊取？ 關(guān)聯(lián) 日志審計(jì)

   e) 怎么辦？ 關(guān)聯(lián) 隔離、排查分析、刪馬（解密）、加固、新運(yùn)營(yíng)

2.關(guān)于windows的日志工具（log parser）有無(wú)圖形界面版？

   Log Parser Lizard 是一款用Vc++.net寫的logParser增強(qiáng)工具。主要有以下特點(diǎn)：

   a) 封裝了logParser命令，帶圖形界面，大大降低了LogParser的使用難度。

   b) 集成了幾個(gè)開源工具，如log4net等?？梢詫?duì)IIS logs\EventLogs\active directory\log4net\File Systems\T-SQL進(jìn)行方便的查詢。

   c) 集成了Infragistics.UltraChart.Core.v4.3、Infragistics.Excel.v4.3.dll等，使查詢結(jié)果可以方便的以圖表或E.  XCEL格式展示。

   d) 集成了常見的查詢命令，范圍包含六大模塊:IIS

   e) 可以將查詢過(guò)的命令保存下來(lái)，方便再次使用。

   PS:軟件是比較老的，對(duì)新系統(tǒng)兼容性不好，還是建議微軟原生態(tài)log parser

3.在linux日志中，有無(wú)黑客入侵后的操作命令的統(tǒng)計(jì)****

   a) 可以根據(jù)history信息進(jìn)行溯源分析，但一般可能會(huì)被清除

   b) 還有方法是需要結(jié)合accton 和 lastcomm

4.  3.2.3 提到了Windows-Exploit-Suggester，有無(wú)linux版？

Linux_Exploit_Suggester https://github.com/PenturaLabs/Linux_Exploit_Suggester

5.有無(wú)linux自動(dòng)化信息收集的腳本工具？

LinEnum  https://github.com/rebootuser/LinEnum

6.

7.有無(wú)綜合的取證分析工具

Autopsy 是sleuthkit提供的平臺(tái)工具，Windows 和 Linux磁盤映像靜態(tài)分析、恢復(fù)被刪文件、時(shí)間線分析，網(wǎng)絡(luò)瀏覽歷史，關(guān)鍵字搜索和郵件分析等功能

http://www.sleuthkit.org/autopsy/

8.關(guān)于業(yè)務(wù)邏輯的排查方法說(shuō)明

新型業(yè)務(wù)安全中安全事件，例如撞庫(kù)、薅羊毛、支付、邏輯校驗(yàn)等敏感環(huán)節(jié)，未在本文體現(xiàn)，所以后續(xù)有必要針對(duì)業(yè)務(wù)側(cè)的應(yīng)急排查方法歸納。

雷鋒網(wǎng)再次聲明：本文作者sm0nk@獵戶攻防實(shí)驗(yàn)室，雷鋒網(wǎng)宅客頻道授權(quán)轉(zhuǎn)載，先知技術(shù)社區(qū)擁有全部?jī)?nèi)容版權(quán)。媒體或商業(yè)轉(zhuǎn)載必須獲得授權(quán)，違者必追究法律責(zé)任。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。