网络攻防学习笔记 Day61

针对 Linux 主机的排查，需要关注以下几点：系统信息、可疑文件、异常进程、后门情况等。

针对可疑文件可以使用 stat 详细查看创建的修改时间、访问时间，若修改时间距离事件日期接近，有线性关联，说明可能被篡改或者其他。

系统性能：top/free-m/df-h/du-sh

进程状态：psauxfww/lsof

网络状态：netstat-antup/lsof-Pni

文件修改：file/stat/find/strings

定时任务：crontab-l；cat/var/spool/cron/root；ls-ladtr/etc/cron*

分析攻击行为：cat ～/.bash_history

查看指定用户定时任务：crontab-l-u root

手动查看文件：/var/spool /cron/root/ etc/crontab /etc/cron.d/ /etc/cron.daily/ /etc/cron.hourly/

查找系统后门: chkrootkit rkhunter（www.chkrootkit.org/rkhunter.sourceforge.net）

atime：最近读取文件内容的时间

mtime：最近修改文件内容的时间

ctime：文件所有者、权限、时间戳发生改变的时间

修改文件内容一定会导致 mtime 及 ctime 发生改变，但是只修改文件属性并不会导致 mtime 发生改变，此时可以通过 ctime 判断文件属性修改时间，通常黑客伪造时间戳。

C2 服务器，指命令和控制服务器（Command-and-ControlServers，通常叫 C&C 或 C2 服务器）。

Indicator of Compromise（IOC），指威胁指标，IOC 可能是一个 MD5 值，一个 C2 域名或硬编码的 IP 地址，一个注册表项，特定的文件名等。

Indicator of Attack（IOA），指攻击指标，描述攻击者组织、手法（邮件钓鱼、0day 漏洞利用等）和攻击意图等。

勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式、弱口令爆破、smb 协议漏洞等方式进行传播。

日常针对蠕虫病毒的应急：一般分析出蠕虫病毒所属家族（可直接看加密文件扩展名或逆向分析），分析出蠕虫病毒具体功能（逆向和搜索引擎对比样本），并分析出蠕虫病毒传播感染源或后台服务器域名和 IP（分析网络设备日志、网络抓包、分析样本），研究解密可能性（逆向加解密机制的实现漏洞），研究利用漏洞的缓解措施和蠕虫传播阻断措施（逆向样本）。