HVV笔记

扫码加入知识星球：网络安全攻防（HVV）

下载全套资料

一、应急响应类

1.1 常见的应急响应命令

`netstat：查看系统网络连接状态和监听端口情况，识别是否有异常连接。`

`ps：查看当前系统进程，识别是否有异常进程。`

`top：实时监控系统资源占用情况，发现异常进程或恶意程序。`

`lsof：列出当前系统打开的文件，包括进程号、文件描述符等信息，帮助发现具有威胁性的进程或文件。`

`tcpdump：抓取网络数据包，分析网络流量，检测网络攻击。`

`strace：跟踪进程的系统调用和信号，定位问题所在，发现异常进程。`

`md5sum：计算文件的MD5值，帮助验证文件完整性。`

`find：查找并定位目标文件或目录，搜索指定范围内的文件等。`

`grep：查找文本内容，支持正则表达式。`

`chattr: 设置文件或目录的属性，比如设置只读和隐藏属性等，保护系统安全。`

1.2 Windows日志排查Windows:日志查看：windows可以通过自带的事件查看器去管理事件eventvwr.msc(Win10以上直接搜索事件查看)这些窗口里的东西保存在WinodwsSystem32Configure--------windows2000/xpWindowsSystem32winvertLogs----windows7以上熟悉日志路径：*.evtx我们要定期备份日志安全ID:SYSTEM在信息里查看服务，木马会生成服务，我们自己配置过木马。看东西进行筛选可以通过事件ID进行筛选RDP远程登陆：黑客如果通过远程去登陆计算机、那么黑客的电脑和我的电脑都会产生相应的事件

4624-登陆成功

4648-明文尝试登陆

4778-重新连接‘

4779-断开连接

1149-用户验证成功

黑客要知道用户名和密码去实现远程桌面登陆，我们可以在日志中看到黑客是在什么时候登陆的简述：日志查看、信息里查看服务、排查时间ID进行筛选

1.3 Windows用户排查1、用命令行：net user2、使用Windows工具“本地用户和组”查看，检查有无影子用户3、Windows任务管理器中可以看到登录的用户4、查看本地用户组及其成员net localgroup5、使用注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList中的用户信息简述：cmd命令行、windows本地用户组、任务管理器、注册表

1.4 主要排查方向日志分析、文件分析、网络行为排查、网络连接排查、流量分析、可疑进程分析、启动项排查、计划任务、服务排查

1.5 上机应急响应方式

在进行应急响应前，需要确保已经采取了必要的保护措施，比如隔离受感染系统、断开网络连接等。

接下来，可以使用以下步骤进行上机应急响应：

启动系统并进入单用户模式：在Linux系统启动时，按下键盘上的“e”键，在grub启动菜单中选中内核项，按下“e”键编辑内核参数，将“ro”修改为“rw init=/bin/bash”，按下“Ctrl+x”或“F10”键启动系统。这样可以以root权限进入单用户模式，方便进行应急响应操作。

确认系统完整性：使用md5sum命令计算关键文件的MD5值，与预期值比对，确保系统文件未遭到篡改。

检测异常进程：使用ps、top、lsof等命令查看当前运行的进程，并识别是否有异常进程。如果发现可疑进程，可以使用kill命令终止它们。

分析网络流量：使用tcpdump抓取网络数据包，分析网络流量，检测网络攻击。

搜索和清除恶意文件：使用find命令搜索目标文件或目录，使用rm命令删除可疑文件。同时，可以使用chattr命令设置文件或目录的属性，防止被删除或篡改。

收集日志和样本：收集系统日志、进程快照、网络流量等信息，作为后续分析的依据。同时，可以使用wget命令下载可疑文件，保存为样本以供分析。

恢复系统服务：在完成应急响应操作后，需要重新启动系统并检查服务是否正常工作，如有必要，还需进行修复和调整。

以上是一些基本的应急响应步骤和命令，具体操作应根据实际情况进行。同时，建议提前做好应急预案，并组织相关人员进行应急演练，以提高应急响应能力。

简化步骤：

首先确保采取了必要保护措施，比如隔离受感染系统，断开网络等

启动系统进入单用户模式，以root权限进入单用户方便应急响应

确认系统完整，对关键文件进行md5值的比对，确认系统文件未被篡改

检测一场进程，使用ps，top，lsof等命令查看可疑进程

分析网络流量，进行流量分析

搜索可以文件，收集日志

恢复系统服务。

1.6 黑页应急a黑页一般是加密的看不懂的，常见的黑帽SEO会通过请求头判断是普通用户还是爬虫机器人，一般黑页会挂在index文件或者配置文件里引用。b所以可以先根据日志找到黑客进入点修复漏洞后，将加密黑链代码通过调试解密，根据其引用调用找到关键黑帽SEO代码并删除相关代码。

1.7 命令被替换a. 如果Linux服务器中出现了被黑客使用alias修改命令的情况，可以采取以下措施进行应急响应 b. 如果发现异常alias，需要及时恢复成正常alias。可以使用unalias命令或重启系统来清除alias。 c. 黑客可能通过修改alias来隐藏自己的行踪或者在服务器上安装后门等恶意程序。因此，需要使用杀毒软件或者检测工具对服务器进行全面扫描，确保系统没有被感染。 d. 如果存在密码泄露的风险，需要及时修改所有账户的密码，同时禁用不必要的账户。

1.8 Linux日志被删光了怎么办a. 首先上报建议立即断开网络，避免进一步的攻击和数据泄露 b. 对系统进行全面的病毒扫描和漏洞扫描，以确保系统没有被感染和漏洞利用。c. 恢复系统备份，以消除可能的攻击痕迹，并且收集其他日志信息。 d. 做完以上这些需要我们更新和修补系统漏洞，进行访问限制和加强身份认证，防止黑客再次入侵。简述：断网--扫描--恢复备份--加固（更新修补系统）

1.9 内存马应急和特征

1.9.1 内存马排查思路1.先查看检查服务器web日志，查看是否有可疑的web访问日志，比如说filter或者listener类型的内存马，会有大量url请求路径相同参数不同的，或者页面不存在但是返回200的请求。2.如在web日志中并未发现异常，可以排查是否为中间件漏洞导致代码执行注入内存马，排查中间件的error.log日志查看是否有可疑的报错，根据注入时间和方法根据业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在过webshell，排查框架漏洞，反序列化漏洞。3.查看是否有类似哥斯拉、冰蝎特征的url请求，哥斯拉和冰蝎的内存马注入流量特征与普通webshell的流量特征基本吻合。4.通过查找返回200的url路径对比web目录下是否真实存在文件，如不存在大概率为内存马。简述：首先排查web日志文件，日志中没有排查中间件漏洞导致的，排查中间件的error.log日志，查看是否又哥斯拉和冰蝎流量特征，查看返回200的url路径是否在web下真实存在，不存在大概率是内存马。

1.9.2 内存马特征的识别依然是以filter内存马举例filter特殊名称内存马的Filter名一般比较特别，随便一点的可能有shell，Mem这种关键词或者随机数随机字母。当然这个特征并不是决定条件，因为讲究一点的攻击者也可以将filter伪装成web应用自带的名称。filter优先级为了确保内存马在各种环境下都可以访问，往往需要把filter匹配优先级调至最高，比如shiro反序列化漏洞。web.xml中没有filter配置内存马的Filter是动态注册的，所以在web.xml中肯定没有配置，如果发现了在web.xml中不存在的filter，那么这个filter就十分可疑了特殊classloader加载一般来说，正常的Filter都是由中间件的WebappClassLoader加载的。而攻击者利用的getshell攻击链往往具有明显的特征，比如反序列化漏洞喜欢利用TemplatesImpl和bcel执行任意代码。所以这些class往往就是以下这两个：com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl$TransletClassLoadercom.sun.org.apache.bcel.internal.util.ClassLoader对应的classloader路径下没有class文件所谓内存马就是代码驻留内存中，本地无对应的class文件。所以我们只要检测Filter对应的ClassLoader目录下是否存在class文件。(这也是很多内存马检测脚步实现的原理)Filter的doFilter方法中有恶意代码我们可以把内存中所有的Filter的class dump出来，使用反编译工具分析看看，是否存在恶意代码，比如调用了：java.lang.Runtime.getRuntime，defineClass，invoke

1.10 被拿到shell怎么应急1.收集信息：收集客户信息和中毒主机信息，包括样本2.判断类型：判断是否是安全事件，何种安全事件，勒索、挖矿、断网、DoS 等等3.抑制范围：隔离使受害面不继续扩大（做好隔离）4.深入分析：日志分析、进程分析、启动项分析、样本分析方便后期溯源5.清理处置：杀掉进程，删除文件，打补丁，删除异常系统服务，清除后门账号防止事件扩大，处理完毕后恢复生产6.产出报告：整理并输出完整的安全事件报告

1.11 如何判断误报1如果源目IP，都是内部资产IP，则极有可能属于误报(但也只是简单判断)，具体还得看报文, Url, Headers, Body查看请求方式，请求体，进一步判断是否为误报，进一步还可以查询到终端主机，确认是否有此操作。2IP不是内部IP的话，就丢到微步查询看一看，是否有恶意标签,比如傀儡机，矿池，垃圾邮件，远控等,就直接可以采取封禁措施。还可以根据设备简单查询此次告警是否为延报，之前是否有过此类事件，但值守人员疏忽并未第一时间发现。3如果是安全事件(攻击成功)筛选日期查看日志，判断是否有进一步的横向移动。内网感染等等。可能就需要采取应急响应的流程。总结：看流量信息，根据流量特征分辨，先确认是否是攻击行为，确认之后再确认攻击IP资产归属，判断是否是内部人员进行测试之类。

1.12 应急响应常用工具ProcessHacker功能：ProcessHacker 是一款不错的进程分析工具，可查看所有进程信息，包括进程加载的 dll、进程打开的文件、进程读写的注册表……，也可以将特定进程的内存空间 Dump 到本地，此外还可以查看网络连接。ProcessExplorer功能：ProcessExplorer 是一款不错的进程分析工具，微软官方推荐工具，稳定性和兼容性相对不错。可查看所有进程的信息，包括其加载的 dll、创建的线程、网络连接……，同样可以 Dump 出进程的内存空间到本地。ProcessMonitor功能：ProcessMonitor 是一款实时刷新的进程信息监控工具，微软官方推荐工具，稳定性和兼容性也是相对出色。展示的信息很全面，且每一个打开的句柄、注册表、网络连接…… 都与具体的进程关联起来。PCHunter功能：XueTr 的增强版，功能和 XueTr 差不多，可参考上图。推荐更多使用 PCHunter，减少出故障的概率。Wireshark功能：Wireshark 是一款常用的网络抓包工具，同时也可以用于流量分析。AutoRuns功能：一款不错的启动项分析工具，微软官方推荐。只要涉及到启动项相关的信息，事无巨细，通通都可以查询得到，非常方便找到病毒的启动项。FastIR功能：收集操作系统的关键日志、关键信息，方便后续取证和排查分析。Hash功能：文件hash 计算工具，可计算文件 MD5、SHA1、CRC 值，可用于辅助判断文件是否被篡改，或者使用哈希值到威胁情报网站查看是否为恶意文件。