说起应急响应不得不说PDCERF,国际权威应急响应流程被业内广为接受,很多的安全厂家和互联网公司的应急流程都是在其基础上建立完善。具体流程如下:
工作中遇到的多数应急事件,经常做的是2、3、4、6,接到用户通知、到达用户现场,开启应急工作,恢复的工作也基本是由用户自己完成数据的恢复,如果只是单纯的上传了木马或挖矿软件一类的恶意文件,并没有发现其他恶意操作,可能恢复工作也不做了,下面举个简单的例子来说下检测阶段。
先来个检测阶段的情景展示,小黑和往常一样来到公司,刷着安全资讯,这时接到领导通知,A单位被黑了,具体被黑的情况可能有如下几种,网站页面遭到篡改,被挂暗链、黑链;某台对外提供服务的服务器存在木马、挖矿软件、vpn等异常程序,或发现异常链接,cpu占用率飙升,造成服务器卡死;安全软件监测到网内存在大量异常连接,占用带宽资源,导致单位无法正常上网;疑似dos大规模流量攻击;安全监管部门监测发现该单位存在异常而被通告。上述几种情况是常遇见的,对于我们应急来讲,最棘手的应该就是第三种情况,导致整个网络环境出现异常,如果单位的安全部门比较负责,熟知自己的主机网络资产那还好说,如果啥都不知道那只能呵呵了,你就只能自己一点点慢慢去摸索了。
小黑速速赶到客户现场,简单和A单位相关负责人做过沟通后,了解到A单位某台服务器发现异常链接,主动向国外ip地址发起链接。小黑拿到ip、账户、口令速速登录服务器,通过top命令查看系统cpu、内存等相关信息,查看是否存在占用较高内存或进程名称异常的程序,发现如下进程
在通过netstat –antp| grep 3869查找异常进程位置,此时发现netstat命令竟然不好使,又试了下ps命令发现也不好使,到bin目录下,发现netstat命令是存在的,如果仔细点会发现他和正常的文件大小不同,此时小黑常用的方法是找个对应版本的linux,把相关命令直接放到bin目录下。当然也可以通过find的命令查找异常文件位置,如果进程名称和文件名不同这种方法就不好使了,还是用netstat通关pid定位比较靠谱。拷贝完netstat后,小黑发现了文件位置原来在tmp文件下。
此时小黑尝试利用kill -9结束异常进程,可是没过多久,程序又会自动开启,于是首先查看开机启动项,发现rc.local被修改,删除相关启动项。
利用crontab –l查看系统定时任务,发现同样存在定时计划,删除相关任务,此时在结束进程,发现程序没有再次启动,小黑保存恶意文件并删除文件。
为了确保安全性,小黑又做了如下操作,利用ps –aux查看系统程序;利用find / -mtime -1 查看最近一天修改的文件;last查看用户登录情况;查看.bash_history看系统被执行了哪些命令;查看etc/passwd,查找异常用户;查看相关var/log下的日志文件;确认无误后小黑才松了口气,到此为止应急响应才完成了一半,后续根据日志进行溯源分析还未开始,下一篇将介绍如何从日志中发现攻击者的行为。检测阶段中常用命令或文件总结如下(有遗漏的,欢迎小伙伴补充):
/etc/crontab;top;etc/passwd;etc/shadow;who;w;uptime;find; find /-mtime -1; .bash_history;history; etc/init.d;etc/rc.local;lsof;w;ps –aux;netstat–antp;last;crontab -l;find。
关注我们
对信息安全有兴趣的小伙伴可以关注我们,TideSec安全团队:
来源:freebuf.com 2019-03-18 09:06:11 by: 菜鸟的菜
请登录后发表评论
注册