说起应急响应不得不说PDCERF,国际权威应急响应流程被业内广为接受，很多的安全厂家和互联网公司的应急流程都是在其基础上建立完善。具体流程如下：

    工作中遇到的多数应急事件，经常做的是2、3、4、6，接到用户通知、到达用户现场，开启应急工作，恢复的工作也基本是由用户自己完成数据的恢复，如果只是单纯的上传了木马或挖矿软件一类的恶意文件，并没有发现其他恶意操作，可能恢复工作也不做了，下面举个简单的例子来说下检测阶段。

    先来个检测阶段的情景展示，小黑和往常一样来到公司，刷着安全资讯，这时接到领导通知，A单位被黑了，具体被黑的情况可能有如下几种，网站页面遭到篡改，被挂暗链、黑链；某台对外提供服务的服务器存在木马、挖矿软件、vpn等异常程序，或发现异常链接，cpu占用率飙升，造成服务器卡死；安全软件监测到网内存在大量异常连接，占用带宽资源，导致单位无法正常上网；疑似dos大规模流量攻击；安全监管部门监测发现该单位存在异常而被通告。上述几种情况是常遇见的，对于我们应急来讲，最棘手的应该就是第三种情况，导致整个网络环境出现异常，如果单位的安全部门比较负责，熟知自己的主机网络资产那还好说，如果啥都不知道那只能呵呵了，你就只能自己一点点慢慢去摸索了。

   小黑速速赶到客户现场，简单和A单位相关负责人做过沟通后，了解到A单位某台服务器发现异常链接，主动向国外ip地址发起链接。小黑拿到ip、账户、口令速速登录服务器，通过top命令查看系统cpu、内存等相关信息，查看是否存在占用较高内存或进程名称异常的程序，发现如下进程

    在通过netstat –antp| grep 3869查找异常进程位置，此时发现netstat命令竟然不好使，又试了下ps命令发现也不好使，到bin目录下，发现netstat命令是存在的，如果仔细点会发现他和正常的文件大小不同，此时小黑常用的方法是找个对应版本的linux，把相关命令直接放到bin目录下。当然也可以通过find的命令查找异常文件位置，如果进程名称和文件名不同这种方法就不好使了，还是用netstat通关pid定位比较靠谱。拷贝完netstat后，小黑发现了文件位置原来在tmp文件下。

   此时小黑尝试利用kill -9结束异常进程，可是没过多久，程序又会自动开启，于是首先查看开机启动项，发现rc.local被修改，删除相关启动项。

    利用crontab –l查看系统定时任务，发现同样存在定时计划，删除相关任务，此时在结束进程，发现程序没有再次启动，小黑保存恶意文件并删除文件。

     为了确保安全性，小黑又做了如下操作，利用ps –aux查看系统程序；利用find / -mtime -1 查看最近一天修改的文件；last查看用户登录情况；查看.bash_history看系统被执行了哪些命令；查看etc/passwd,查找异常用户；查看相关var/log下的日志文件；确认无误后小黑才松了口气，到此为止应急响应才完成了一半，后续根据日志进行溯源分析还未开始，下一篇将介绍如何从日志中发现攻击者的行为。检测阶段中常用命令或文件总结如下(有遗漏的，欢迎小伙伴补充)：

     /etc/crontab;top;etc/passwd;etc/shadow;who;w;uptime;find; find /-mtime -1; .bash_history;history; etc/init.d;etc/rc.local;lsof;w;ps –aux;netstat–antp;last;crontab -l;find。

关注我们

对信息安全有兴趣的小伙伴可以关注我们，TideSec安全团队：

来源：freebuf.com 2019-03-18 09:06:11 by: 菜鸟的菜