74应急响应-win&linux分析后门&勒索病毒&攻击

这篇具有很好参考价值的文章主要介绍了74应急响应-win&linux分析后门&勒索病毒&攻击。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

#操作系统(windows,linux)应急响应:

1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等)。

2.常见分析:计算机账户,端口,进程,网络,启动(木马需要运行,除了伪装成正常文件就是自启动),服务,任务,文件(文件权限)等安全问题 

常见日志类别及存储:

Windows,Linux 

日志文件默认存储路径

补充资料:

10款常见的Webshell检测工具:https://xz.aliyun.com/t/485

史上最全Windows安全工具锦集:https://www.secpulse.com/archives/114019.html

Sysinternals:https://docs.microsoft.com/en-us/sysinternals/

病毒分析:

PCHunter:www.anxinsec.com

火绒剑:https://www.huorong.cn

Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

Process Hacker:https://processhacker.sourceforge.io/downloads.php

AutoRuns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL(无法访问):https://www.bleepingcomputer.com/download/otl/

sysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector

病毒查杀:

卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe

大蜘蛛:http://free.drweb.ru/download+cureit+free

火绒安全软件:https://www.huorong.cn

360杀毒:http://sd.360.cn/download_center.html

病毒动态:

CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn

微步在线威胁情报社区:https://x.threatbook.cn

火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html

爱毒霸社区:http://bbs.duba.net

腾讯电脑管家:http://bbs.guanjia.qq.com

在线病毒扫描网站:

多引擎在线病毒扫描网:http://www.virscan.org

腾讯哈勃分析系统:https://habo.qq.com

Jotti恶意软件扫描系统:https://virusscan.jotti.org

ScanVir:http://www.scanvir.com 

木马和病毒是两个东西,木马是控制电脑,病毒是把电脑里面的文件什么的搞得不正常,比如勒索病毒。

攻击响应-暴力破解(RDP,SSH)-Win,Linux 

windows

这个直接打开事件查看器

74应急响应-win&linux分析后门&勒索病毒&攻击,linux,运维,服务器

主要的就是应用程序,安全,系统这三个,但是看着比较麻烦,还有id对应的意思也要去网上查,

windows自带日志工具不好用,查找分析不方便,推荐使用插件LogFusion 

利用工具rdp爆破之后

74应急响应-win&linux分析后门&勒索病毒&攻击,linux,运维,服务器

日志就看到了大量的登陆失败,还可以双击某一条查看详细信息

然后id4624代表成功,可以搜一下4624看看有没有被爆破成功

然后就可以看到那个ip登录成功了

linux系统

通常都在var/log下面

Linux-grep筛选:

1、统计日志中“Failed password”出现过多少次,确认服务器遭受多少次暴力破解

    grep -o "Failed password" /var/log/secure|uniq -c

74应急响应-win&linux分析后门&勒索病毒&攻击,linux,运维,服务器

2、输出登录爆破的第一行和最后一行,确认爆破时间范围

    grep "Failed password" /var/log/secure|head -1  第一次

    grep "Failed password" /var/log/secure|tail -1    最后一次

74应急响应-win&linux分析后门&勒索病毒&攻击,linux,运维,服务器

3、筛选IP地址,定位有哪些IP在爆破

    grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr

74应急响应-win&linux分析后门&勒索病毒&攻击,linux,运维,服务器

4、筛选爆破字典,确定爆破用户名字典都有哪些

    grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

5、筛选登录成功的日期、用户名、IP

    grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

    grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more 

只要指定文件正确,这些口令就直接复制粘贴就行

控制响应-后门木马(Webshell,PC)-Win,Linux 

背景;用cs在靶机上植入木马exe文件,运行之后,在cs上线

TCPView

74应急响应-win&linux分析后门&勒索病毒&攻击,linux,运维,服务器

TCPView能筛选网络进程的链接指向,是官方工具

打开TCPView,点击“Remote Address”筛选远程主机

TCPView可能发现不了后门进程 

Process Explorer

Process Explorer可以查看当前运行的所有进程,是官方工具

找到问题进程可以右键“属性”,查看进程的详细信息 

74应急响应-win&linux分析后门&勒索病毒&攻击,linux,运维,服务器

PCHunter

PCHunter是一个集成化工具 

74应急响应-win&linux分析后门&勒索病毒&攻击,linux,运维,服务器

蓝颜色就不是系统自带的,然后后门还有厂商介绍,没有厂商就很可能是恶意文件进程,但是如果apt入侵的话,上传的马都是免杀的,而且改有信息的都有,甚至伪装成杀软信息

74应急响应-win&linux分析后门&勒索病毒&攻击,linux,运维,服务器

在这里会展示每一个盘下面的隐藏文件,因为木马还会做隐藏,

74应急响应-win&linux分析后门&勒索病毒&攻击,linux,运维,服务器

木马会设置计划任务或者开机自启动

UserAssistView

UserAssistView可以查看文件执行记录,是官方工具

找到后门文件后,可以通过该文件查看后门文件的执行情况 

74应急响应-win&linux分析后门&勒索病毒&攻击,linux,运维,服务器

LogonSessions

LogonSessions可以查看当前会话,是官方工具

可以用来分析有没有远程连接

Autoruns

Autoruns可以查看Windows上的自启动项目 

Linux-自动化响应检测-Gscan多重功能脚本测试:

自动化响应检测工具:GScan、chkrootkit、rkhunter、lynis

GScan下载:https://github.com/grayddq/GScan/ 

启动使用之后

运行Gscan

    python GScan.py -h
74应急响应-win&linux分析后门&勒索病毒&攻击,linux,运维,服务器

弱点建议提示哪里可能被作为入侵点,和攻击风险都会有介绍在什么时候被什么攻击过,

除Gscan外,还有chkrootkit、rkhunter、lynis等工具

危害响应-病毒感染(勒索 WannaCry)-Windows

经典勒索病毒

74应急响应-win&linux分析后门&勒索病毒&攻击,linux,运维,服务器

打开什么文档文件,都会弹出这个界面

它属于逆向的技术

推荐2个勒索病毒解密网站

https://lesuobingdu.360.cn/

上传文件分析

74应急响应-win&linux分析后门&勒索病毒&攻击,linux,运维,服务器

https://www.nomoreransom.org/zh/index.html 

74应急响应-win&linux分析后门&勒索病毒&攻击,linux,运维,服务器

上传加密文件,会给出是那种加密类型,还会给出解密建议,如何下载它建议的软件,74应急响应-win&linux分析后门&勒索病毒&攻击,linux,运维,服务器

都有可能解密不成功

中毒原因;ms10170,没打补丁,自己在网上乱下东西

xing

fu文章来源地址https://www.toymoban.com/news/detail-811760.html

到了这里,关于74应急响应-win&linux分析后门&勒索病毒&攻击的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 记·Linux挖矿病毒应急响应

    朋友说他的机器被用来挖矿了,叫我帮他处理一下,正好锻炼锻炼应急响应能力。 top查看cup发现占用300%,确实是被用来挖矿了。 查看异常进程9926的pid端口,发现为空查找不到连接情况,怎么回事? 查看全部端口网络连接,发现pid被清除了,但是本地有异常端口连接情况,

    2024年02月13日
    浏览(51)
  • 第74篇:美国APT网络攻击破坏伊朗核设施全过程复盘分析(震网病毒上篇)

    大家好,我是ABC_123 。在上大学时,就曾听过美国NSA使用震网病毒(Stuxnet)攻击了物理隔离的伊朗核设施,病毒在传播过程中使用了多达4个windows系统的0day漏洞, 最终导致上千台提纯浓缩铀离心机损坏,致使伊朗的核武器研发计划遇到重大挫折 。“震网”病毒是世界上第一

    2024年02月09日
    浏览(38)
  • 应急响应-web后门(中间件)的排查思路

    语言,数据库,中间件,系统环境等 1.利用时间节点筛选日志行为 2.利用已知的漏洞在日志进行特征搜索,快速定位到目标ip等信息 3.后门查杀,获取后门信息,进一步定位目标信息 iis .net分析:网站被入侵,给出来被入侵时间 iis日志地址:inetput/logs/LogFiles/W3VC5(确认对网站的

    2024年02月14日
    浏览(40)
  • .Mkp勒索病毒:防止.mkp勒索病毒攻击的有效方法

    引言: 随着科技的进步,勒索病毒成为网络安全领域的一大威胁,其中mkp勒索病毒是近期引起关注的一种。该病毒通过加密用户的数据文件,迫使受害者支付赎金以获取解密密钥。在本文中,我们将深入介绍mkp勒索病毒,以及如何有效恢复被其加密的数据文件,并提供一系列

    2024年01月21日
    浏览(47)
  • 防勒索病毒攻击的关键措施

    【作者】朱向东  中原银行 高级工程师 在当今数字化时代,勒索病毒成为了企业和个人面临的一项严峻威胁。勒索病毒攻击可以导致数据丢失、系统瘫痪以及经济损失。为了保护自己和组织的利益,采取一系列的防范措施是至关重要的。下面是一些关键的措施,帮助您从网

    2024年02月03日
    浏览(52)
  • 挖矿病毒应急响应思路,挖矿病毒事件处理步骤

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 比特币系统每隔一段时间就会在节点上生成一个 「随机代码」 ,互联网中的所有设备都可以寻找这个代

    2024年02月10日
    浏览(47)
  • 向日葵遭黑客攻击,或利用其部署勒索病毒

    据新闻报道称,恶意黑客正在利用向日葵(Sunlogin)软件的已知漏洞来部署Silver C2框架,以实施后续入侵活动。 安全公司AhnLab的安全应急响应中心(ASEC)发布。该中心发现,中国远程桌面控制软件向日葵的安全漏洞已遭到利用,攻击者正借此部署各种恶意载荷。 研究人员表

    2024年02月08日
    浏览(43)
  • 一次真实的应急响应案例(Windows2008)——暴力破解、留隐藏账户后门与shift粘贴键后门、植入WaKuang程序——事件复现(含靶场环境)

    某天客户反馈:服务器疑似被入侵,风扇噪声很大。( 真实案例自己搭建环境复现一下,靶场环境放在了 知识星球 和 我的资源 中 ) 受害服务器: Windows2008 系统、 IP: 192.168.226.137、无WEB服务 根据客户反馈:“风扇噪声很大”,一般只有消耗CPU很多的情况下,服务器高温,

    2024年02月03日
    浏览(67)
  • 服务器病毒木马通用排查处理应急响应流程

    目录 一、勒索病毒发作的特征    二、勒索病毒的应急响应   三、勒索病毒预防与事后加固   如果发现大量统一后缀的文件;发现勒索信在Linux/home、/usr等目录,在Windows   桌面或者是被加密文件的文件夹下。如果存在以上特征情况,证明感染了勒索病毒并且已经发作。

    2024年04月22日
    浏览(41)
  • 网络安全底座让勒索病毒攻击化被动为主动,为数字化转型打好安全地基

    根据Cyber Security Ventures的分析结果表明,2022年全世界每11s就会发生一次勒索软件攻击,与2019年每14s一次攻击预测相比,攻击数量增加了约20%。随着勒索软件威胁的不断加剧,一旦目标中招,目标受害者可能面临运营中断,机密信息泄露以及赎金经济损失等问题。随着勒索软件

    2024年04月14日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包