容易收录的网站,软件下载大全网站,青岛房产网上查询,wordpress图片按钮#操作系统(windows,linux)应急响应#xff1a;
1.常见危害#xff1a;暴力破解#xff0c;漏洞利用#xff0c;流量攻击#xff0c;木马控制(Webshell,PC 木马等)#xff0c;病毒感染(挖矿#xff0c;蠕虫#xff0c;勒索等)。
2.常见分析#xff1a;计算机账户
1.常见危害暴力破解漏洞利用流量攻击木马控制(Webshell,PC 木马等)病毒感染(挖矿蠕虫勒索等)。
2.常见分析计算机账户端口进程网络启动木马需要运行除了伪装成正常文件就是自启动服务任务文件文件权限等安全问题
常见日志类别及存储
WindowsLinux
日志文件默认存储路径
补充资料
10款常见的Webshell检测工具https://xz.aliyun.com/t/485
史上最全Windows安全工具锦集https://www.secpulse.com/archives/114019.html
Sysinternalshttps://docs.microsoft.com/en-us/sysinternals/
病毒分析
PCHunterwww.anxinsec.com
火绒剑https://www.huorong.cn
Process Explorerhttps://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
Process Hackerhttps://processhacker.sourceforge.io/downloads.php
AutoRunshttps://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL无法访问https://www.bleepingcomputer.com/download/otl/
sysInspectorhttp://download.eset.com.cn/download/detail/?productsysinspector
病毒查杀
卡巴斯基http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
大蜘蛛http://free.drweb.ru/downloadcureitfree
火绒安全软件https://www.huorong.cn
360杀毒http://sd.360.cn/download_center.html
病毒动态
CVERC-国家计算机病毒应急处理中心http://www.cverc.org.cn
微步在线威胁情报社区https://x.threatbook.cn
火绒安全论坛http://bbs.huorong.cn/forum-59-1.html
爱毒霸社区http://bbs.duba.net
腾讯电脑管家http://bbs.guanjia.qq.com
在线病毒扫描网站
多引擎在线病毒扫描网http://www.virscan.org
腾讯哈勃分析系统https://habo.qq.com
Jotti恶意软件扫描系统https://virusscan.jotti.org
ScanVirhttp://www.scanvir.com
木马和病毒是两个东西木马是控制电脑病毒是把电脑里面的文件什么的搞得不正常比如勒索病毒。
攻击响应-暴力破解RDPSSH-WinLinux
windows
这个直接打开事件查看器 主要的就是应用程序安全系统这三个但是看着比较麻烦还有id对应的意思也要去网上查
windows自带日志工具不好用查找分析不方便推荐使用插件LogFusion
利用工具rdp爆破之后 日志就看到了大量的登陆失败还可以双击某一条查看详细信息
然后id4624代表成功可以搜一下4624看看有没有被爆破成功
然后就可以看到那个ip登录成功了
linux系统
通常都在var/log下面
Linux-grep筛选
1、统计日志中“Failed password”出现过多少次确认服务器遭受多少次暴力破解 grep -o Failed password /var/log/secure|uniq -c 2、输出登录爆破的第一行和最后一行确认爆破时间范围 grep Failed password /var/log/secure|head -1 第一次 grep Failed password /var/log/secure|tail -1 最后一次 3、筛选IP地址定位有哪些IP在爆破 grep Failed password /var/log/secure|grep -E -o (25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)|uniq -c | sort -nr 4、筛选爆破字典确定爆破用户名字典都有哪些 grep Failed password /var/log/secure|perl -e while($_){ /for(.*?) from/; print $1\n;}|uniq -c|sort -nr
5、筛选登录成功的日期、用户名、IP grep Accepted /var/log/secure | awk {print $1,$2,$3,$9,$11} grep Accepted /var/log/secure | awk {print $11} | sort | uniq -c | sort -nr | more
只要指定文件正确这些口令就直接复制粘贴就行
控制响应-后门木马WebshellPC-WinLinux
背景用cs在靶机上植入木马exe文件运行之后在cs上线
TCPView TCPView能筛选网络进程的链接指向是官方工具
打开TCPView点击“Remote Address”筛选远程主机
TCPView可能发现不了后门进程
Process Explorer
Process Explorer可以查看当前运行的所有进程是官方工具
找到问题进程可以右键“属性”查看进程的详细信息 PCHunter
PCHunter是一个集成化工具 蓝颜色就不是系统自带的然后后门还有厂商介绍没有厂商就很可能是恶意文件进程但是如果apt入侵的话上传的马都是免杀的而且改有信息的都有甚至伪装成杀软信息 在这里会展示每一个盘下面的隐藏文件因为木马还会做隐藏 木马会设置计划任务或者开机自启动
UserAssistView
UserAssistView可以查看文件执行记录是官方工具
找到后门文件后可以通过该文件查看后门文件的执行情况 LogonSessions
LogonSessions可以查看当前会话是官方工具
可以用来分析有没有远程连接
Autoruns
Autoruns可以查看Windows上的自启动项目
Linux-自动化响应检测-Gscan多重功能脚本测试
自动化响应检测工具GScan、chkrootkit、rkhunter、lynis
GScan下载https://github.com/grayddq/GScan/
启动使用之后
运行Gscan python GScan.py -h
弱点建议提示哪里可能被作为入侵点和攻击风险都会有介绍在什么时候被什么攻击过
除Gscan外还有chkrootkit、rkhunter、lynis等工具
危害响应-病毒感染(勒索 WannaCry)-Windows
经典勒索病毒 打开什么文档文件都会弹出这个界面
它属于逆向的技术
推荐2个勒索病毒解密网站
https://lesuobingdu.360.cn/
上传文件分析 https://www.nomoreransom.org/zh/index.html 上传加密文件会给出是那种加密类型还会给出解密建议如何下载它建议的软件
都有可能解密不成功
中毒原因ms10170没打补丁自己在网上乱下东西 xing fu
