应急响应总结

web服务应急

异常特征:

流量异常 设备告警

处理思路:

  1. 获取受攻击Web服务器的组成架构(脚本语言 数据库 中间件 操作系统等)
  2. 基于时间 可能利用的漏洞 后门查杀筛选 查看日志,分析攻击行为

不同中间件的日志分析

日志查看方式

  • IIS日志:
    • 通过IIS管理器查看
    • 通过指定路径查看:
      Windows Server 2003 中的 IIS 6:

    C:\Windows\System32\LogFiles
    Windows Server 2008 R2 及以后版本(包括 Windows Server 2012, 2016, 2019)中的 IIS 7 及更高版本:
    C:\inetpub\logs\LogFiles

  • Apache日志:
    • windows

    D:\xampp\apache\logs\access.log D:\xampp\apache\logs\error.log

    • linux

    /etc/httpd/logs/access_log

    /var/log/httpd/access_log

  • Tomcat日志:
    • windows
      Tomcat的日志文件默认存放在Tomcat安装目录下的logs子目录中Tomcat安装在D:\apache-tomcat-9.0.0.M1,那么日志文件的路径就是D:\apache-tomcat-9.0.0.M1\logs
      一般看localhost_access_log.YYYY-MM-DD.txt文件
    • Linux

    /usr/local/tomcat/logs

日志分析方式

  1. 看时间
  2. 看请求方式 POST方式比较可疑
  3. 看请求URL和状态码 如果用了目录扫描器 会访问一些不存在的页面
  4. 看UA头 有些工具的UA头会暴露攻击行为
  • tips: 结合everything 可以做到多个文本同时搜索内容

木马查杀

常规webshell查杀

webshell内存马查杀

  • java 内存马查杀
    • 河马内存马扫描或者tomcat-memshell-scanner.jsp(针对java tomcat): 把jsp文件放入web目录下即可
    • 将扫描到的可疑对象的文件dump下来 放到查杀平台上面查杀确定
    • 确定内存马后通过everything等工具查找到内存马的在jvm缓存文件中的位置,先结束进程然后进行删除,重启服务即可
  • php 内存马查杀
    • 常规后门查杀检测后,中间件重启即可
  • .NET

tips: web服务被攻击一般都需要看日志去分析,如果日志被删了,可以恢复,日志被删除说明攻击者已经大概率已经拿到主机权限了(webshell权限删不了日志)

隐藏的webshell发现

  • 文件MD5校验:将所有网站文件计算一次 hash 值保存,当出现应急情况时,重新计算一次 hash 值,并与上次保存的 hash 值进行对比,从而输出新创建的、修改过及删除的文件列表。
  • diff命令(linux):diff 命令可以用来比较两个文本文件的差异。同样,我们可以通过一行命令快速找出两个项目文件的差异

diff -c -a -r <项目1> <项目2>

  • 版本控制工具:比如说git,重新上传代码到git,然后打开项目,点击commit,在历史提交版本里面,查看文件更改内容,很容易就可以发现代码被篡改的地方
  • 文件比对工具:Beyond Compare 和 WinMerge

网站被挂黑链接应急

被挂黑链接一般和JS代码有关(用js代码实现跳转),找到js代码然后删除即可(一般会在根目录)

系统应急

window常规后门查杀和权限维持检测

  • 查进程(火绒剑)
  • 查自启动项(火绒剑)
  • 隐藏账号检测(D盾)
  • 检查映像劫持(Autoruns的imagehijacks选项卡或者pchunter)
  • 查最近打开文件(LastActivityView)
  • host文件检查,防止钓鱼

linux常规后门查杀和权限维持检测

常规后门查杀

  • 查进程(netstat命令)
    • netstat参数(一般用netstat -anpt)
      -a:显示所有连线中的Socket
      -n:直接使用IP地址,而不通过域名服务器
      -p:显示正在使用Socket的程序识别码和程序名称
      -t:显示TCP传输协议的连线状况
    • 查看到可疑进程用kill <pid值> 杀死进程,然后删除后门文件

权限维持检测

  • 查计划任务
    crontab -l

  • 查开机自启动

    1
    2
    3
    more /etc/rc.local
    more /etc/rc.d/rc[0~6].d
    ls -l /etc/rc.d/rc3.d/

  • 查看异常账户

    1
    2
    cat /etc/passwd
    cat /etc/shadow

    格式:用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后的shell

  • rpm命令纂改分析
    rpm -V -a 查看所有被修改过的rpm包

标志 介绍
S 文件大小是否改变
M 文件的类型或文件的权限(rwx)是否被改变
5 文件MD5校验是否改变(可以看成文件内容是否改变)
D 设备中,从代码是否改变
L 文件路径是否改变
U 文件的属主(所有者)是否改变
G 文件的属组是否改变
T 文件的修改时间是否改变

rpm -V -f /bin/ls 确认ls命令是否被替换过,没有任何输出代表没有被替换过(ls可以换成别的命令 如:/bin/ps)

导出历史命令

进入用户目录
cat .bash_history >> history.txt

日志查看

用命令查看/var/log/的指定日志即可,如

  • 查看账户ssh登录日志
    grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'
  • 查看redis日志
    cat /var/redis/redis.log

Rootkit(内核级权限维持和隐藏,没办法抓包和看进程得到)

tips: rootkit很难被检测到,rootkit检测工具是根据rootkit工具的特征去检测的,但是rootkit工具有很多,所以很难检测到

挖矿脚本查杀

挖矿需要的前提: 取得了服务器权限

异常特征

CPU GPU占用率高

查杀思路

  1. 查进程cpu占用(linux下top命令)和网络行为
  2. 查找恶意进程的文件位置(linux下 find / -name xxxx) 记录文件修改时间 上传威胁情报中心确定木马类型
  3. 查杀定时任务 和 自启动项目
  4. 杀死恶意进程 清除文件 (重复检查,存在没删除干净的情况)

勒索病毒检测指南

什么是勒索病毒

勒索病毒是一种新型电脑病毒,主要以RDP爆破、邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。2019年末,勒索已然呈现出 “双重勒索”的超势,即先取商业数据,然后实施勒索,如果未能在规定时间内支付金,将于网上(通常暗网)公开售卖企业的商业数据

勒索病毒危害影响

  • 系统瞬时CPU占用高,接近100%,这个现象主要是在批量加密文件
  • 所有应用都被无法使用和打开
  • 系统应用文档被加密无法修改
  • 文件后被修改并留下勒索信
  • 桌面主题被修改
  • 杀毒软件告警(可能你并不懂告警了Crysis是什么东西)

应急流程(大部分情况解密不了)

  • 把被加密的文件copy出来,然后上传到勒索病毒分析云平台
  • 看云平台分析的结果是否能够解密,如果能够解密,下载工具解密
  • 如果不能解密 GG 交钱或者重装系统

勒索病毒搜索引擎

【360】 勒索病毒搜索引擎,支持检索超过800种常见勒索病毒

官网:http://lesuobingdu.360.cn

【腾讯】 勒索病毒搜索引擎,支持检索超过 300 种常见勒索病毒

官网:https://guanjia.qq.com/pr/ls

【启明】VenusEye勒索病毒搜索引擎,超300种勒索病毒家族

官网:https://lesuo.venuseye.com.cn

【奇安信】勒索病毒搜索引擎

官网:https://lesuobingdu.qianxin.com

【深信服】勒索病毒搜索引擎

官网:https://edr.sangfor.com.cn/#/information/ransom_search

勒索病毒解密工具集

【腾讯哈勃】勒索软件专杀工具

官网:https://habo.qq.com/tool

【金山毒霸】勒索病毒免疫工具

官网:http://www.duba.net/dbt/wannacry.html

【火绒】安全工具下载

官网:http://bbs.huorong.cn/forum-55-1.html

【瑞星】解密工具下载

官网:http://it.rising.com.cn/fanglesuo/index.html

【nomoreransom】勒索软件解密工具集

官网:https://www.nomoreransom.org/zh/index.html

【MalwareHunterTeam】勒索软件解密工具集

官网:https://id-ransomware.malwarehunterteam.com

【卡巴斯基】免费勒索解密器

官网:https://noransom.kaspersky.com

【Avast】免费勒索软件解密工具

官网:https://www.avast.com/zh-cn/ransomware-decryption-tools

【Emsisoft】免费勒索软件解密工具

官网:https://www.emsisoft.com/ransomware-decryption-tools/free-download

【GitHub 项目】勒索病毒解密工具收集汇总

官网:https://github.com/jiansiting/Decryption-Tools

Title:应急响应总结

Author:

Created:2024-04-10, 11:03:22

Updated:2024-04-10, 11:03:22

Full URL:https://isyang666.github.io/2024/04/10/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94%E6%80%BB%E7%BB%93/

License: "CC BY-NC-SA 4.0" Keep Link & Author if Distribute.

Contents
  1. 1. web服务应急
    1. 1.1. 异常特征:
    2. 1.2. 处理思路:
    3. 1.3. 不同中间件的日志分析
      1. 1.3.1. 日志查看方式
      2. 1.3.2. 日志分析方式
    4. 1.4. 木马查杀
      1. 1.4.1. 常规webshell查杀
      2. 1.4.2. webshell内存马查杀
    5. 1.5. 隐藏的webshell发现
    6. 1.6. 网站被挂黑链接应急
  2. 2. 系统应急
    1. 2.1. window常规后门查杀和权限维持检测
    2. 2.2. linux常规后门查杀和权限维持检测
      1. 2.2.1. 常规后门查杀
      2. 2.2.2. 权限维持检测
      3. 2.2.3. 导出历史命令
      4. 2.2.4. 日志查看
      5. 2.2.5. Rootkit(内核级权限维持和隐藏,没办法抓包和看进程得到)
  3. 3. 挖矿脚本查杀
    1. 3.1. 异常特征
    2. 3.2. 查杀思路
  4. 4. 勒索病毒检测指南
    1. 4.1. 什么是勒索病毒
    2. 4.2. 勒索病毒危害影响
    3. 4.3. 应急流程(大部分情况解密不了)
    4. 4.4. 勒索病毒搜索引擎
    5. 4.5. 勒索病毒解密工具集
|