应急流程
应急响应
PDCERF模型 P (Preparation准备) 应急工具:ls ifconfig ps top (busybox,webshell,病毒查杀) D(Detection诊断) 类型: 挖矿(cpu过高),dos, C(Containment抑制) 阻断:减小范围 E(Eradication根除) 寻找根源 如何进来的?利用了哪些漏洞?在服务器做了什么? 清楚后门 R(Recovery恢复) 恢复上线 F(follow-up跟踪) 进一步跟踪 应急报告,自省和高进措施
应急工具
BusyBox BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件。
运维人员开始top、ps等未查找到异常进程是由于该病毒涉及到 Linux动态链接库预加载机制,是一种常用的进程隐藏方法,而系统的ls,ps等命令已被通过so库的preload机制被病毒劫持。
而busybox是静态编译的,不依赖于系统的动态链接库,从而不受ld.so.preload的劫持,能够正常操作文件。
BusyBox下载
cd /bin/ wget https://busybox.net/downloads/binaries/1.30.0-i686/busybox chmod 755 busybox
使用:busybox top
用什么工具来判断后门? Chkrootkit Rkhunter 查杀:cleamav
WebShell查杀 D盾查杀 http://www.d99net.net/News.asp?id=62
windows
链接: https://pan.baidu.com/s/150igm97zH9PkiF9Gmm1aCg 提取码: 2xd4
应急响应-3 检测步骤
应急响应检测
事件分类 时间分类也就是初步判断什么安全事件,是服务器cpu过高还是出现陌生用户名等 Web入侵:挂马、篡改、Webshell 系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞病毒 木马:远控、后门 勒索软件信息泄漏:拖裤、数据库登录(弱口令) 网络流量:频繁发包、批量请求、DDOS攻击
阻断 iptables-save >/root/iptables.bak ##备份系统的的 iptables文件 iptables -F iptables -A INPUT -s 允许登录IP -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -d 允许登录IP -p tcp --sport 22 -j ACCEPT iptables -A INPUT -j DROP iptables -A FORWARD -j DROP iptables -A OUTPUT -j DROP
常用后面技术 增加超级用户帐号 破解/嗅控用户密码 放置SUID Shell 利用系统服务程序 TCP/UDP/ICMP Shell Crontab定时任务 共享库文件 工具包rootkit 可装载内枋模块(LKM)
- 检查系统用户
- 检查异常进程
- 检查异常系统文件
- 检查网络
- 检查计划任务
- 检查系统命令
- 检查系统日志
- 检查WebShell
- 检查系统后门