网络安全-应急响应

账号安全：<br>1、用户信息文件/etc/passwd <br>2、影子文件密码/etc/shadow who查看当前登录用户（tty本地登陆 pts远程登录） w 查看系统信息，想知道某一时刻用户的行为 uptime 查看登陆多久、多少用户，负载 <br>入侵排查:<br>1、查询特权用户特权用户(uid 为0 awk -F: '$3==0{print $1}' /etc/passwd<br>2、查询可以远程登录的帐号信息awk '/\$1|\$6/{print $1}' /etc/shadow<br>3、除root帐号外，其他帐号是否存在sudo权限。如非管理需要，普通帐号应删除sudo权限more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)" 禁用或删除多余及可疑的帐号 usermod -L user 禁用帐号，帐号无法登录，/etc/shadow第二栏为!开头

历史命令：保存1万条命令sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile <br>历史操作命令的清除：history -c cat .bash_history &gt;&gt; history.txt

端口：使用netstat 网络连接命令，分析可疑端口、IP、PID 查看下pid所对应的进程文件路径，运行ls -l /proc/$PID/exe或file /proc/$PID/exe（$PID 为对应的pid 号）

进程 使用ps命令，分析进程<br>ps aux | grep pid

开机启动项 <br>0关机<br>1单用户模式，可以想象为windows的安全模式，主要用于系统修复<br>2不完全的命令行模式，不含NFS服务<br>3完全的命令行模式，就是标准字符界面<br>4.系统保留<br>5.图形模式<br>6.重启 查看运行级别命令 runlevel系统默认允许级别<br>vi /etc/inittab<br>id=3：initdefault 系统开机后直接进入哪个运行级别 开机启动配置文件<br>/etc/rc.local13;/etc/rc.d/rc[0~6].d

定时任务

服务启动 <br>自启动第一种 chkconfig [--level 运行级别] [独立服务名] [on|off]<br>chkconfig –level 2345 httpd on 开启自启动<br>chkconfig httpd on （默认level是2345）<br>第二种修改/etc/rc.d/rc.local 文件 <br>加入 /etc/init.d/httpd start 第三种使用ntsysv命令管理自启动，可以管理独立服务和xinetd服务。

系统日志 日志默认存放位置：/var/log/<br>查看日志配置情况：more /etc/rsyslog.conf

工具篇 <br>1.Rootkit查杀 <br>chkrootkit工具 wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz <br>rkhunter工具Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz <br>2.病毒查杀 Clamav工具 <br>3.webshell查杀 <br>&nbsp;河马webshell查杀：http://www.shellpub.com <br>&nbsp;深信服Webshell网站后门检测工具：http://edr.sangfor.com.cn/backdoor_detection.html<br>4.RPM check查杀 、RPM check检查<br>系统完整性可以通过rpm自带的-Va来校验检查所有的rpm软件包，查看哪些命令是否被替换了：<br>./rpm -Va &gt; rpm.log

检查系统账号安全：<br>1、查看服务器是否有弱口令，远程管理端口是否对公网开放。<br>2、查看服务器是否存在可疑账号、新增账号。检查方法：打开 cmd 窗口，输入lusrmgr.msc命令，查看是否有新增/可疑的账号，如有管理员群组的（Administrators）里的新增账户，如有，请立即禁用或删除掉。<br>3、查看服务器是否存在隐藏账号、克隆账号。检查方法：<br>a、打开注册表 ，查看管理员对应键值。<br>b、使用D盾_web查杀工具，集成了对克隆账号检测的功能。<br>4、结合日志，查看管理员登录时间、用户名是否存在异常。检查方法：<br>a、Win+R打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”。<br>b、导出Windows日志--安全，利用Log Parser进行分析。

检查异常端口，进程 ：<br>1、检查端口连接情况，是否有远程连接、可疑连接。<br>检查方法：<br>a、netstat -ano 查看目前的网络连接，定位可疑的ESTABLISHED<br>b、根据netstat 定位出的pid，再通过tasklist命令进行进程定位 tasklist | findstr “PID”<br>2、进程检查方法：<br>a、开始--运行--输入msinfo32，依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息，比如进程路径、进程ID、文件创建日期、启动时间等。<br>b、打开D盾_web查杀工具，进程查看，关注没有签名信息的进程。<br>c、通过微软官方提供的 Process Explorer 等工具进行排查 。<br>d、查看可疑的进程及其子进程。可以通过观察以下内容：没有签名验证信息的进程<br>没有描述信息的进程，进程的属主，进程的路径是否合法，CPU或内存资源占用长时间过高的进程<br>3、小技巧：<br>a、查看端口对应的PID： netstat -ano | findstr “port”<br>b、查看进程对应的PID：任务管理器--查看--选择列--PID 或者 tasklist | findstr “PID”<br>c、查看进程对应的程序位置：<br>任务管理器--选择对应进程--右键打开文件位置<br>运行输入 wmic，cmd界面 输入 process<br>d、tasklist /svc 进程--PID--服务<br>e、查看Windows服务所对应的端口： ​ %system%/system32/drivers/etc/services（一般%system%就是C:\Windows）

检查启动项、计划任务、服务：1、检查服务器是否有异常的启动项。2、检查计划任务3、服务自启动

检查系统相关信息：1、查看系统版本以及补丁信息2、查找可疑目录及文件

自动化查杀病毒查杀<br>检查方法：下载安全软件，更新最新病毒库，进行全盘扫描。webshell查杀<br>检查方法：选择具体站点路径进行webshell查杀，建议使用两款webshell查杀工具同时查杀，可相互补充规则库的不足。

日志分析分析方法：<br>a、前提：开启审核策略，若日后系统出现故障、安全事故则可以查看系统的日志文件，排除故障，追查入侵者的信息等。<br>b、Win+R打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”。<br>C、导出应用程序日志、安全日志、系统日志，利用Log Parser进行分析。<br>WEB访问日志,分析方法：<br>a、找到中间件的web日志，打包到本地方便进行分析。<br>b、推荐工具：Window下，推荐用 EmEditor/notepad++ 进行日志分析，支持大文本，搜索效率还不错。 Linux下，使用Shell命令组合查询分析