应急响应

什么是应急响应?

应急响应对应的英文是“Incident Response”或“Emergency Response”等,通常是指一个组织为了应对各种意外事件发生前所做的准备, 以及在意外事件发生后所采取的措施。

网络安全应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。网络安全应急响应主要是为了人们对网络安全有所认识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。

作用和意义

未雨绸缪:即在事件发生前事先做好准备,比如安全合规、风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施。

亡羊补牢:即在事件发生后采取的措施,其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人,也可能来自系统,如发现事件发生后,系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、取证等一系列操作。

相关单位

领导组:中国网络安全和信息化领导小组

网信办:国家互联网信息办公室

公安部:网警、技侦、网安、刑侦、国安….

国家网络安全应急办公室

国家互联网应急中心

法律法规

2016年 国家网络空间安全战略

2017年 网络安全法

2019年 网络安全等级保护2.0

国家网络安全事件应急预案

……

事件级别

1、特别重大事件

红色预警、一级响应

2、重大事件

橙色预警、二级响应

3、较大事件

黄色预警、三级响应

4、一般事件

蓝色预警、四级响应

事件类型

1、应用安全

Webshell、网页篡改、网页挂马…

2、系统安全

勒索病毒、挖矿木马、远控后门…

3、网络安全

DDOS攻击、ARP攻击、流量劫持…

4、数据安全

数据泄露、损坏、加密…

应急响应模型(PDCERF)

1.准备阶段(Preparation)

2.检测阶段(Detection)

3.抑制阶段(Containment)

4.根除阶段(Eradication)

5.恢复阶段(Recovery)

6.总结阶段(Follow-up)

image-20230519215747578

01 准备阶段

应急团队建设
应急方案制定
渗透测试评估
安全基线检查

02 检测阶段

判断事件类型
判断事件级别
确定应急方案

03 抑制阶段

限制攻击/破坏波及的范围,同时也是在降低潜在的损失:
阻断:IP地址、网络连接、危险主机….
关闭:可疑进程、可疑服务…..
删除:违规账号、危险文件….

04 根除阶段

通过事件分析找出根源并彻底根除,以避免被再次利用:
增强:安全策略、全网监控….
修复:应用漏洞、系统漏洞、补丁更新…..
还原:操作系统、业务系统…..

05 恢复阶段

把被破环的信息彻底还原到正常运作的状态:
恢复业务系统
恢复用户数据
恢复网络通信

06 总结阶段

回顾并整合应急响应过程的相关信息,进行事后分析总结和修订安全计划、 政策、程序,并进行训练,以防止入侵的再次发生:
事件会议总结
响应报告输出
响应工作优化

团队组建

内部团队:
监控组:利用各类系统监控、查看监控系统日志、对应用/系统/网络/数据安全检测
响应组:应用组、系统组、设备组
研判组:溯源分析、专家组
文档组:应急响应方案制定、事件报告输出、经验总结输出

外部团队:
合作单位:安全厂商、安全服务团队
监管单位:网信办、公安部

安全产品

美国将信息安全设备分为9类:

鉴别、访问控制、入侵监测、防火墙、公钥基础设施、恶意程序代码防护、漏洞扫描、 取证、介质清理或擦除

中国公安部将信息安全设备分为7类:

操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别

中国军用标准分为6类:

物理安全产品、平台安全产品、网络安全产品、数据安全产品、用户安全产品、管理安全产品

安全产品用途分类

安全网关类:

防火墙、UTM、网闸、抗DDoS墙、负载均衡、VPN、上网行为管理

评估工具类:

漏洞扫描系统、网络分析系统

威胁管理类:

入侵监测系统(IDS)、入侵防御系统(IPS)、WEB应用防火墙(WAF)、网络防毒墙、杀毒软件

应用监管类:

堡垒机、审计系统、DB防火墙、终端安全管理系统、Mail防火墙、安全运维平台(SOC)、IT运维管理平台

安全加密类:

加密机、三合一、身份认证系统、文件加密系统

防火墙(Firewall)

防火墙(Firewall ),也称防护墙,是由Check Point创立者发明

  • 它是一个信息安全的防护系统,依照特定的规则,允许或限制传输的数据通过,主要是网络层的安全防护设备

  • 防火墙是一个由软件和硬件设备组合而成,在内部网和外部网之间、专用网与公共网之间构造的保护屏障

下一代防火墙,即Next Generation Firewall

  • 简称NG Firewall,是一款可以全面应对应用层威胁的高性能防火墙,提供网络层应用层一体化安全防护,防火墙主要用于边界安全防护的权限控制和安全域的划分。

在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。

防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。

部署于内、外网边界和各个区域之间,用于权限访问控制和安全域划分

抗DDoS防火墙

  • DDoS全名是Distribution Denial of service (分布式拒绝服务攻击)
  • Dos的攻击方式有很多种,最基本的Dos攻击就是利用合理的服务请求来占用过多的服务 资源,从而使服务器无法处理合法用户的指令
  • DDoS防火墙的独特抗攻击算法,高效的主动防御系统可有效防御Dos/DDoS、 SuperDDoS、DrDoS、代理CC、变异CC、僵尸集群CC、UDPFlood、变异UDP、随机UDP、ICMP、IGMP、SYN、SYNFLOOD、ARP攻击,传奇假人攻击、论坛假人攻击、 非TCP/IP协议层攻击、等多种未知攻击
  • 部署于外网边界前端,或将数据引流至过滤引擎,最终回流

网闸(GAP)

  • 网闸(GAP)全称安全隔离网闸
  • 安全隔离网闸是一种带有多种控制功能专用硬件在电路上切断网络之间的链路层连接 ,并能够在网络间进行安全适度的应用数据交换的网络安全设备
  • 相比于防火墙,能够对应用数据进行过滤检查,防止泄密、进行病毒和木马检查
  • 特点:链路层设备,两个主板,之间用线连接,这个线不使用任何的协议,只进行数据的读和写;进行数据摆渡,传输速率低。常用于保密单位、科研单位等

虚拟专用网络(VPN)

  • VPN(virtual private network)虚拟专用网络,在公用网络上建立专用网络,进行加密通讯,VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问
  • VPN的隧道协议主要有三种:PPTP、L2TP和IPSec,常用VPN类型有 SSL VPN(以 HTTPS为基础的VPN技术)和IPSec VPN(基于 IPSec 协议的 VPN 技术,由 IPSec 协议提 供隧道安全保障)
  • 部署在网络、应用、服务器前端,部署模式有单臂模式、路由模式、透明模式

入侵检测系统(IDS)

入侵检测系统(intrusion detection system,简称IDS) 是一种对网络传输进行即时监视, 在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。

依照一定的安全策略,通过软、硬件对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性 。

入侵检测系统部署模式为旁路模式部署,在核心交换设备上开放镜像端口,分析镜像流量中的数据,判别攻击行为。

一个入侵检测系统分为四个组件:

  • 事件产生器(Event generators),它的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件
  • 事件分析器(Event analyzers),它经过分析得到数据,并产生分析结果
  • 响应单元(Response units ),它是对分析结果作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警
  • 事件数据库(Event databases )事件数据库是存放各种中间和最终数据的地方的统称, 它可以是复杂的数据库,也可以是简单的文本文件

入侵防御系统(IPS)

入侵防御系统(Intrusion-prevention system,简称IPS) 位于防火墙和网络设备之间,依靠对数据包的检测进行防御(检查入网的数据包,确定数据包的真正用途,然后决定是否允许其进入内网 )

能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、 调整或隔离一些不正常或是具有伤害性的网络资料传输行为

防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力,IPS是对防火墙的补充

分类:投入使用的入侵预防系统按其用途进一步可以划分为单机入侵防御系统(HIPS: Hostbased Intrusion Prevension System)和网络入侵防御系统(NIPS: Network Intrusion Prevension System)两种类型

网络入侵防御系统作为网络之间或网络组成部分之间的独立的硬体设备,切断交通,对过往包裹进行深层检查,然后确定是否放行。网络入侵防御系统借助病毒特征和协议异常, 阻止有害代码传播。有一些网络入侵防御系统还能够跟踪和标记对可疑代码的应答,然后看谁使用这些回答信息而请求连接,这样就能更好地确认发生了入侵事件

部署:服务器区域前端,部署模式通常为网桥模式、透明模式,也有部署为路由模式

WEB应用防火墙

Web应用防火墙(Web Application Firewall,简称WAF) 用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题, 与传统防火墙不同,WAF工作在应用层,因此对 Web应用防护具有先天的技术优势。

WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护

部署在服务器区域前端,专门针对web应用进行防, Web应用防火墙部署模式有网桥模 式、透明模式、代理模式,并支持双bypass(硬件+软件)

入侵排查

系统排查
进程排查
服务排查
文件痕迹排查
日志分析
内存分析
流量分析
威胁情报

系统排查—基本信息

Windows

使用 Microsoft 系统信息工具(msinfo32.exe),它是Microsoft Windows NT 诊断工具(Winmsd.exe)的更新版本

① 系统信息工具:输入 msinfo32 命令,打开系统摘要信息窗口
② 正在运行的任务:系统摘要 ->软件环境 ->正在运行的任务,可以看到正在运行的任务名称、路径、进程ID等信息
③ 服务:在系统摘要 ->软件环境 -> 服务 选项,查看服务的名称、状态、路径等信息
④ 系统驱动程序:软件环境 -> 系统驱动程序,可以查看系统驱动程序的名称、描述、文件等信息
⑤ 加载的模块:软件环境 ->加载的模块,查看加载的模块的名称、路径等信息
⑥ 启动程序:软件环境 -> 启动程序,查看启动程序的命令、用户名、位置等信息
⑦ 还可以使用 systeminfo 命令查看简要信息

image-20230519223025282

linux

CPU信息:查看CPU的型号、主频、内核等信息

lscpu

操作系统信息:查看当前操作系统信息

uname -a
cat /proc/version

模块信息:查看所有载入系统的模块信息

lsmod

image-20230519223309750

用户信息

Windows

排查恶意账户

① 命令行输入:net user,这种方法看不到 $ 隐藏的账户
② 图形界面:在计算机管理 -> 本地用户和组 -> 用户 中查看,可以查看隐藏账户,名称以 $ 结尾的是隐藏账户或者通过 lusrmgr.msc 命令,打开图形界面
③ 注册表查看:运行 中输入 regedit,打开注册表编辑器,在 HKEY_LOCAL_MACHINE下的 SAM 选项,可以访问到子项并查看用户信息,查看是否存在隐藏克隆账户
④ wmic: wmic useraccount get name,sid

image-20230519223447088

win11使用mimikatz

1
2
3
privilege::debug
token::elevate
lsadump::sam

image-20230519225303410

linux

查看所有用户信息: cat /etc/passwd ,分别表示: “用户名”“密码加密”“用户ID”“用户组ID”“注释”“用户主目录”“默认登录shell”,最后显示 “bin/bash”表示账户状态可登录,如果为“sbin/nologin”,表示账户状态不可登录

分析超级权限账户:查询可登录账户UID为0的账户,root是UID为0的可登录账户,如果出现其它为0的账户,就要重点排查:

1
awk -F: '{if($3==0)print $1}' /etc/passwd

查看可登录的账户:

1
cat /etc/passwd | grep 'bin/bash’

查看用户错误的登录信息:

1
lastb

查看所有用户最后的登录时间:

1
lastlog

查看用户最近登录信息:

1
last

数据源为 /var/log/wtmp 、 /var/log/btmp、 /var/log/utmp。wtmp存放登录成功的信息,btmp存放登录失败的信息,utmp存放正在 登录的信息

查看当前用户登录系统情况:

1
who

启动项

Windows

windows系统中自启动文件时按照2个文件和5个核心注册表子键来自动加载程序

通过“系统配置”对话框查看:在命令行输入 msconfig

通过注册表查看:注册表时操作系统中一个重要的数据库,主要用于存储系统必需的信息

注册表以分层的组织形式存储数据元素,数据项是注册表的基本元素,每个数据项下面不但可以存储很多子数据项,还可以以键值的形式存储数据

**HKEY_CLASSES_ROOT (HKCR)**:此处存放信息可确保windows资源管理器中执行时打开正确的程序,还包含有关拖放规则、快捷方法和用户界面信息的更多详细信息

**HKEY_CURRENT_USER(HKCU)**: 包含当前登录系统的用户的配置信息,有用户的文件夹 、屏幕颜色和控制面板的设置

**HKEY_LOCAL_MACHINE(HKLM)**: 包含运行操作系统的计算机硬件特定的信息,有系统上安装的驱动器列表以及已安装硬件和应用程序的通用配置

**HKEY_USERS(HKU)**: 包含系统上所有用户配置文件的配置信息,有应用程序配置和可视化设置

**HKEY_CURRENT_CONFIG(HCU)**: 存储有关系统当前配置的信息

linux

启动项是恶意病毒实现持久化的常用手段

查看 init.d 文件加下的rc.local 文件内容:

1
cat /etc/init.d/rc.local 

查看rc.local 文件的内容

1
cat /etc/rc.local 

查看init.d 文件夹下所有文件的详细信息

1
ls -alt /etc/init.d : 

kali默认是没有rc.local的,需要自己创建

计划任务

Windows

计算机管理 -> 系统工具 -> 任务计划程序 -> 任务计划程序库,查看任务计划名称、状态、触发器等信息

image-20230519231359731

在powershell输入:

1
Get-ScheduledTask

image-20230519231654541

命令行输入: 获取任务计划时要求是本地Administrators的成员

1
schtasks

image-20230519233701456

Linux

命令输入:

1
2
crontab -l 
crontab -u root -l

查看 /etc 目录下的任务计划文件:

1
ls /etc/cron*

image-20230519233736121

进程排查

Windows

通过任务管理器查看,可以在”查看“中选择”选择列“,然后添加”映像路径名称“ 和”命令行“ 查看更多进程信息

使用tasklist命令

查看进程与服务对应情况 :

1
tasklist /svc

对于某些DLL 恶意进程 :

1
tasklist /m

查看调用 ntdll.dll 模块的进程 :

1
tasklist /m ntdll.dll

可以通 /fi 进行过滤:

1
tasklist /svc /fi "PID eq 2820"

image-20230519233958119

通过 netstat 进行排查

查看当前网络连接 :

1
netstat -ano | findstr "ESTABLISHED" 

通过netstat 定位出PID,通过tasklist 命令进行程序定位

1
2
3
wmic process where name="firefox.exe" get processid,executablepath,name 

wmic process where processid=602444 get processid,executablepath,name

快速定位到端口对应的程序(管理员权限): netstat -anb

image-20230519234126665

使用Powershell进行排查

进入Powershell:

1
get-wmiobject win32_process | select name,processid,parentprocessid,path

wmic查询

以csv格式显示数据:wmic process list full /format:csv

1
2
3
4
wmic process get name,parentprocessid,processid /format:csv 
wmic process get executablepath,processid /format:csv
wmic process where processid=2020 get executablepath,processid /format:csv
wmic process where name="httpd.exe" get executablepath,processid /format:csv

linux

① 查看进程:

1
netstat -anptl

② 然后查看3364进程的可执行程序:

1
ls -alt /proc/3364 

查看进程打开的文件:

1
lsof -p  3364

③ 如果是恶意进程,可杀掉进程:

1
kill -9 3364

然后删除可疑木马:

1
rm -rf 木马文件 

④ 如果无法删除,可能文件被加上 i 属性,使用: lsattr 文件名 ,查看属性,然后使用 chattr -i 文件名 ,移除 i 属性,然后删除文件

⑤ 如果进程无法删除,可疑先查杀守护进程,然后再删除

⑥ 通过 top 查看相关资源占用率比较高的进程

服务排查

Windows

打开“运行”,输入 services.msc 命令,可打开 “服务”窗口,查看所有服务项,包括 服务名、描述、状态等

linux

查看系统运行服务:

1
chkconfig --list

chkconfig命令属于readhat的linux系统的命令。如果系统属debina系如ubuntu是没有这个命令的。

所有服务的状态:

1
service --status-all

image-20230519234421231

文件痕迹排查

对恶意软件常用的敏感路径进行排查

在确定了应急响应事件的时间点后,对时间点前后的文件进行排查

对带有特征的恶意软件进行排查,这些特征包括代码关键字或关键函数,文件权限特征等

敏感目录

Windows

检查各个盘下的 temp(tmp)相关目录:有些恶意程序释放子体(即恶意程序运行时投放出的文件)一般会在程序中写好投放的路径,常常为临时目录。对敏感目录进行检查, 一般是看临时目录下是否存在异常文件

对于一些人工入侵的应急响应事件,有时入侵者会下载一些后续攻击的工具。windows系统要重点排查浏览器的历史记录,下载文件和cookie信息,查看是否由相关的恶意痕迹

查看用户Recent文件

Recent文件主要存储了最近运行文件的快捷方式,可以通过分析最近运行的文件,排查可疑文件,一般Recent文件在windows系统中的存储位置: C:\Users\Administrator\Recent、C:\Users\用户名\Recent,或者通过“运行”-> 输入 “ recent ”

image-20230519235729996

预读取文件夹查看

Prefetch 是预读取文件夹,用来存放系统已经访问过的文件的预读取信息,扩展名为pf,之所以自动创建Prefetch文件夹,是为了加快系统启动的进程。 windows7可以保存最近128个可执行文件的信息,在windows8和windows10系统中可以记录最近1024个可执行文件,一旦建立了映像,之后应用软件的装入速度可大幅度提升。

Prefetch文件夹的位置为 %SystemRoot%\Prefetch\ ,可以在 运行 对话框中输入 prefetch 或者 %SystemRoot%\Prefetch\,或者打开:C:\Windows\Prefetch

linux

linux常见敏感目录:

  • /tmp 目录和命令目录 /usr/bin 、 /usr/sbin等经常作为恶意软件下载目录即相关文件被替换的目录
  • ~/.ssh 以及 /etc/ssh 也经常作为一些后门配置的路径,需要重点排查

时间点

应急响应事件发生后,需要先确认事件发生的时间点,然后排查时间点前、后的文件变动情况,从而缩小排查的范围

Windows

列出攻击日期内新增的文件,从而发现相关的恶意软件。在windows系统中,输入命令: forfiles ,查找相应的文件

例如:

显示对 2021/11/27 后的创建的txt文件进行搜索:

1
forfiles /m *.txt /d +2021/11/27 /s /p c:\ /c "cmd /c echo @path @fdate  @ftime" 2>null

显示 2021/11/1 之后pptx名字包含”网络“的文件:

1
forfiles /m *网络*.pptx /p f:\ /d +2021/11/1 /s /c "cmd /c echo @path  @fdate @ftime" 2>null

显示 2021/11/27 后所有访问过的文件:

1
forfiles /m *.* /p f:\ /d +2021/11/27 /s /c "cmd /c echo @path @fdate  @ftime" 2>null 

以上命令中 2>null 表示将错误输出重定向到空设备,即不输出错误信息。

对文件的创建时间、修改时间、访问时间进行排查,对于人工入侵的应急响应事件,有时攻击者会为了掩饰入侵行为,对文档的相应时间进行修改,以规避一些排查策略,比如攻击者可能通过”菜刀“这类工具修改时间,因此,如果文件的相关时间存在明显逻辑问题 ,就需要重点排查,很可能是恶意文件(比如创建时间为2021,修改时间为2018)

linux

通过列出攻击日期内变动的文件,可发现相关的恶意文件,通过 find 命令,可以对某一时间内增加的文件进行查找

find: 在指定的目录下查找文件

-type b/d/c/p/l/f :查找块设备、目录、字符设备、管道、符号链接、普通文件

-mtime -n +n :按文件更改时间来查找文件,-n指 n天以内,+n指 n天前

-atime -n +n : 按文件访问时间来查找

-ctime -n +n : 按照文件创建时间来查找

例如:

查找一天内新增的txt文件:

1
find / -ctime 0 -name ".*txt"

查找3天内新增的txt文件:

1
find / -ctime -3 -name "*.txt"

查看目录按照时间排序:

1
ls -alt | head -n 10 (查看前10条的内容)

image-20230519235931972

对文件的创建时间、修改时间、访问时间进行排查

使用 stat 命令可以查看文件详细信息,若修改时间距离应急响应事件日期接近,有线性关联,说明有可能被篡改

linux特殊文件

特殊权限文件查找:

1
find /tmp -perm 777 

webshell查找:webshell排查可以通过文件、流量、日志分析,基于文件的命名特征和内容特征,相对操作性较高。

例如查找/var/www下所有php文件 :

1
find /var/www/ -name "*.php"

例如:

1
find /var/www/ -name "*.php" | xargs egrep  "assert|eval|base64_decode|shell_exec|passthru|\(\$\_\POST\["

webshell

Windows

webshell(网站入侵脚本)可以通过上述方法筛选之后,再进一步排查,还可以使用D 盾、HwsKill、webshellKill等工具对目录下的文件进行规则查询

日志分析

Windows

windows中,日志文件包括:系统日志、安全性日志及应用程序日志,对于应急响应工程师来说这三类日志需要熟练掌握。

windows XP/windows server 2003,日志位置如下:

系统日志:

1
C:\Windows\System32\config\SysEvent.evt 

安全性日志:

1
C:\Windows\System32\config\SecEvent.evt 

应用程序日志:

1
C:\Windows\System32\config\AppEvnet.evt

windows vista/windows 7/windows8/windows10/Windows server2008之后,日志位置:

系统日志为

1
C:\Windows\System32\winevt\Logs\System.evtx 

安全性日志为

1
C:\Windows\System32\winevt\Logs\Security.evtx 

应用程序日志为

1
C:\Windows\System32\winevt\Logs\Application.evtx 

或者打开”运行“,输入 eventvwr.msc

系统日志

系统日志指windows系统中的各个组件在运行中产生的各种事件,这些事件一般可以分为:系统中各种驱动程序在运行中出现的重大问题、操作系统的多种组件在运行中出现重大问题及应用软件在运行中出现的重大问题等,这些重大问题主要包括重要数据的丢失、错误,以及系统产生的崩溃行为等

安全性日志

安全性日志与系统日志不同,安全性日志主要记录了各种与安全相关的事件。构成该日志的内容主要包括:各种登录与退出系统的成功或不成功的信息;对系统中各种重要资源进行的各种操作,如对系统文件进行创建、删除、更改等操作

应用程序日志

应用程序日志主要记录各种应用程序产生的各类事件,例如系统中的SQL server数据库程序在受到暴力破解攻击时,日志会有相关记录,该记录中包含对应事件相关的详细信息

其他日志

在应急响应中经常也会用到 PowerShell 日志

日志分析

日志分析就是在众多日志中找出自己需要的日志

(1)通过内置的日志筛选器进行分析:使用日志筛选器可以对记录时间、事件级别、任务类别、关键字等信息进行筛选

(2)使用 Powershell 对日志进行分析

在使用powershell进行日志分析时,需要管理员权限,常用的命令:

  • Get-EventLog:只获取传统事件日志
  • Get-WinEvent:从传统事件日志和新windows 事件日志技术生成的事件日志中获取事件 ,还会获取windows 事件跟踪(ETW)生成的日志文件中的事件,需要windows vista/windows server2008及更高版本的windows系统,还需要 .NET Framework 3.5 及以上版本
    例如获取安全性日志下事件ID为4624(登录成功)的所有日志信息:
1
get-eventlog security -instanceid 4624

• 例如:

1
get-winevent -filterhashtable @{logname='security';id='4624'}

linux

linux系统中日志一般存放在目录 /var/log/ 下,具体功能如下:

  • /var/log/wtmp:记录登录进入、退出、数据交换、关机和重启,即last,是一个二进制文件,可以使用last查看

  • /var/log/cron:记录与定时任务相关的日志信息

  • /var/log/messages:记录系统启动后的信息和错误日志,cat /var/log/messages

  • /var/log/apache2/access.log:记录Apache的访问日志

  • /var/log/auth.log:记录系统授权信息,包括用户登录和使用的权限机制等

  • /var/log/userlog: 记录所有等级用户信息的日志

  • /var/log/xferlog(vsftpd.log):记录linux FTP的日志

  • /var/log/lastlog: 记录登录的用户,可以使用命令lastlog查看,

  • /var/log/secure : 记录大多数应用输入的账户和密码,以及登录成功与否

  • /var/log/faillog: 记录登录系统不成功的账号信息

  • ls -alt /var/spool/mail : 查看邮件相关记录文件

  • cat /var/spool/mail/root :可发现对80端口的攻击行为(当web访问异常时,及时向当前系统配置的邮箱地址发送报警邮件)

对linux系统日志分析主要使用 grep sed sort awk 等命令

查看最后10行日志 :

1
tail -n 10 test.log

查看10之后的所有日志

1
tail -n +10 test.log

查询头10行的日志

1
head -n 10 test.log

查询除了最后10条的所有日志

1
head -n -10 test.log

其他日志
1、IIS日志的位置

1
2
3
4
%SystemDrive%\inetpub\logs\LogsFiles 
%SystemRoot%\System32\LogFiles\W3SVC1
%SystemDrive%\inetpub\logs\LogFiles\W3SVC1
%SystemDrive%\Windows\System32\LogFiles\HTTPERR

2、Apache日志的位置

1
2
3
4
/var/log/httpd/access.log 
/var/log/apache/access.log
/var/log/apache2/access.log
/var/log/httpd-access.log

3、Nginx日志位置

默认在 /usr/local/nginx/logs 目录下,accessl.log 代表访问日志,error.log 代表错误日志,若没有在默认路径下,则可以到 nginx.conf 配置文件中查找

4、Tomcat日志的位置

默认在 TOMCAT_HOME/logs/目录下,有 catalina.out、catalina.YYYY-MM-DD.log 、 localhost.YYYY-MM-DD.log、 localhost_access_log.YYYY-MM-DD.txt、hostmanager.YYYY-MM-DD.log、manager.YYYY-MM-DD.log 等几类日志

5、Weblogic日志的位置

在默认情况下,WebLogic 有三种日志,分别是 access log 、 server log 和 domain log

access log 的位置是

1
2
$MW_HOME\user_projects\domains\<domain_name>\server\<server_name>\logs
\access.log

server log 的位置是

1
2
$MW_HOME\user_projects\domains\<domain_name>\server\<server_name>\logs
\<server_name>.log

domain log 的位置是

1
2
$MW_HOME\user_projects\domains\<domain_name>\server\<adminserver_name
>\logs\<domain_name>.log

6、数据库日志

Oracle数据库查看方法如下:使用 select * from v$logfile 命令,可查询日志路径,在默认情况下,日志文件记录在 $ORACLE/rdbms/log 。 使用 select * from v$sql 命令,查询之前用过的SQL

MySQL 数据库查看方法如下:使用 show variables like ‘%log_%’ 命令,可查看是否启用日志,如果日志已开启,则默认路径为 /var/log/mysql ,使用 show variables like ‘%general%’ 命令,可查看日志位置

MsSQL 数据库查看方法如下:一般无法直接查看,需要登录到 SQL Server Management Studio ,在 “管理-SQL Server 日志” 中进行查看

应急响应工具箱

多引擎在线病毒扫描

使用多个不同的病毒引擎进行扫描检测,确认可疑文件是否是恶意代码

VirSCAN:免费多引擎在线病毒扫描1.02 版,支持47个杀毒引擎: https://www.virscan.org/

VirusTotal:一个提供免费的可疑文件分析服务的网站:https://www.virustotal.com/

Jotti:恶意软件扫描系统,使用几个反病毒程序进行扫描可疑文件: https://virusscan.jotti.org

ScanVir:一个免费网站,针对计算机病毒、手机病毒、可疑文件等进行检测和分析: http://www.scanvir.com

病毒查杀软件

联网状态下,直接下载杀毒软件进行全盘扫描查杀

360杀毒:整合了五大领先查杀引擎,杀毒查杀率比较高:https://sd.360.cn/

火绒安全软件:一款非常精致的软件,包含了火绒剑,安全专业人士很好用的分析工具: https://www.huorong.cn/

ClamAV:用于检测木马/病毒/恶意软件和其他恶意威胁的一个开源杀毒引擎,检测Linux 病毒:http://www.clamav.net/download.html

病毒清除工具

无法联网时,可使用绿色免安装的病毒清除工具,扫描电脑中的所有文件

Dr.Web CureIt:绿色免安装版本,具有单机版Dr.Web的所有功能: https://free.drweb.ru/download+cureit+free/

卡巴斯基:官方免费绿色版卡巴斯基杀毒软件:http://devbuilds.kasperskylabs.com/devbuilds/KVRT/latest/full/KVRT.exe

Rootkit后门检测工具:用于在本地检查rootkit后面的工具:

chkrootkit:http://www.chkrootkit.org

rkhunter:http://rkhunter.sourceforge.net

勒索病毒搜索引擎

勒索病毒自救最有力的工具,输入病毒名或加密文件后缀名,就可以找到解密工具或者了解病毒详情

腾讯勒索病毒搜索引擎,支持检索支持检索超过 1000+ 种常见勒索病毒: https://guanjia.qq.com/pr/ls/

360勒索病毒搜索引擎,支持检索超过上800种常见勒索病毒: http://lesuobingdu.360.cn

启明VenusEye勒索病毒搜索引擎,超300种勒索病毒家族: https://lesuo.venuseye.com.cn/

奇安信勒索病毒搜索引擎:https://lesuobingdu.qianxin.com/

深信服勒索病毒搜索引擎: https://edr.sangfor.com.cn/#/information/ransom_search

Webshell检测工具

网站被入侵时,我们需要一款Webshell检测工具,来帮助我们发现webshell,进一步排查系统可能存在的安全漏洞

D盾_Web查杀:http://www.d99net.net/index.asp

百度WEBDIR+:https://scanner.baidu.com/

河马webshell查杀:http://www.shellpub.com

Web Shell Detector:http://www.shelldetector.com/

在线沙箱

Any.Run:https://app.any.run/

微步云沙箱:https://s.threatbook.cn/

VirusTotal:https://www.virustotal.com/gui/

Joe Sanbox:https://www.joesandbox.com/

腾讯哈勃分析系统:https://habo.qq.com/

360沙箱云:https://ata.360.cn/detection

奇安信沙箱:https://sandbox.ti.qianxin.com/sandbox/page

微点沙箱:https://sandbox.depthsec.com.cn/index.php/

魔盾安全分析:https://www.maldun.com/analysis/

大圣云沙箱:https://mac-cloud.riskivy.com

安全分析工具

SysinternalsSuite:包含一系列免费的系统分析工具,如Process Explorer、启动项分析工具 AutoRuns等:https://docs.microsoft.com/zh-cn/sysinternals/downloads/

PCHunter:一款强大的手工杀毒辅助工具:http://www.xuetr.com

Process Hacker:一个免费,功能强大的多功能工具,可帮助您监视系统资源,调试软件和检测恶意软件:https://processhacker.sourceforge.io/

SysInspector:一个免费的系统安全检测工具: http://download.eset.com.cn/download/detail/?product=sysinspector

RegShot:注册表对比工具:https://sourceforge.net/projects/regshot/