网络攻防学习笔记 Day61
针对 Linux 主机的排查,需要关注以下几点:系统信息、可疑文件、异常进程、后门情况等。
针对可疑文件可以使用 stat 详细查看创建的修改时间、访问时间,若修改时间距离事件日期接近,有线性关联,说明可能被篡改或者其他。
系统性能:top/free-m/df-h/du-sh
进程状态:psauxfww/lsof
网络状态:netstat-antup/lsof-Pni
文件修改:file/stat/find/strings
定时任务:crontab-l;cat/var/spool/cron/root;ls-ladtr/etc/cron*
分析攻击行为:cat ~/.bash_history
查看指定用户定时任务:crontab-l-u root
手动查看文件:/var/spool /cron/root/ etc/crontab /etc/cron.d/ /etc/cron.daily/ /etc/cron.hourly/
查找系统后门: chkrootkit rkhunter(www.chkrootkit.org/rkhunter.sourceforge.net)
atime:最近读取文件内容的时间
mtime:最近修改文件内容的时间
ctime:文件所有者、权限、时间戳发生改变的时间
修改文件内容一定会导致 mtime 及 ctime 发生改变,但是只修改文件属性并不会导致 mtime 发生改变,此时可以通过 ctime 判断文件属性修改时间,通常黑客伪造时间戳。
C2 服务器,指命令和控制服务器(Command-and-ControlServers,通常叫 C&C 或 C2 服务器)。
Indicator of Compromise(IOC),指威胁指标,IOC 可能是一个 MD5 值,一个 C2 域名或硬编码的 IP 地址,一个注册表项,特定的文件名等。
Indicator of Attack(IOA),指攻击指标,描述攻击者组织、手法(邮件钓鱼、0day 漏洞利用等)和攻击意图等。
勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式、弱口令爆破、smb 协议漏洞等方式进行传播。
日常针对蠕虫病毒的应急:一般分析出蠕虫病毒所属家族(可直接看加密文件扩展名或逆向分析),分析出蠕虫病毒具体功能(逆向和搜索引擎对比样本),并分析出蠕虫病毒传播感染源或后台服务器域名和 IP(分析网络设备日志、网络抓包、分析样本),研究解密可能性(逆向加解密机制的实现漏洞),研究利用漏洞的缓解措施和蠕虫传播阻断措施(逆向样本)。
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/769069709dbecfe24ab41c34f】。文章转载请联系作者。
评论