搜索
    Hi~登录注册
    查看: 216|回复: 4
    收起左侧

    应急响应思路及工具(自动化脚本)

    [复制链接]

    2

    主题

    0

    精华

    0 小时

    在线时间

    新手上路

    Rank: 1

    积分
    2
    发表于 2019-6-22 09:46:46 | 显示全部楼层 |阅读模式
    1、获取主机信息
    获取的主机信息包括:主机ip地址、主机名、当前系统内核版本、当前系统版本、系统当前时间;
    2、获取异常进程
    获取异常进程主要是采用两种方式,第一种,通过执行netstat -antp获取当前主机存在哪些链接,并通过判断外部链接地址归属地,如果归属地不是中国,则会提取相关pid,并根据pid定位出文件所在位置。第二种,通过cpu占有率,一旦发现cpu占用率高于%15时,会提取对应程序的pid,根据pid定位异常文件位置。
    3、判断常见命令是否被篡改
    在之前的应急响应中出现过常见命令被非法篡改情况,如ps、netstat命令被恶意替换,利用stat查看文件详细信息,通过比对时间的方式判断命令是否被篡改。
    4、查看系统启动项
    很多恶意程序会修改系统启动项,这样即使系统进行重启时,恶意程序也能自动启动,查看init.d目录下的启动文件,根据修改时间提取最近被修改的启动文件,并根据时间排序列出前5个。
    5、查看历史命令
    查看.bash_history历史命令,通过匹配关键字,如wget、cur等,来查看系统在被入侵后是否被执行了恶意操作。
    6、判断非系统默认账户
    恶意程序可能会在系统中新建账户,通过查看login.defs文件获取最小uid,从而根据uid查看passwd文件,获取之后新建的系统用户。
    7、获取当前登录用户
    通过调用who,查看当前登录用户(tty为本地登录,pts为远程登录),判断是否存在异常用户登录情况。
    8、查看系统当前用户
    通过查看etc/passwd,查看相关用户信息,确定是否存在异常用户。
    9、查看crontab定时任务
    查看/etc/crontab定时任务,并将输出结果保存到log中
    10、查看、保存最近三天系统文件修改情况
    通过find命令,查找最近三天修改过的文件,由于修改的系统文件较多,所以修改文件被单独保存在本地file_edit文件中
    11、查找特权用户。
    查看passwd文件,查找用户id为0的特权用户
    12、secure日志分析
    日志分析是应急的重头工作,尤其是在应急后期的溯源阶段,日志分析更显得尤为重要,由于日志种类包括服务器日志、应用日志,此处只是分析了secure服务器日志,提取日志的ip地址进行判断,并对ip归属地进行判断,查看的secure日志单独保存在本地secure中。
    先说下,这个小脚本实现思路很简单,就是查询命令的堆叠,所以调整也很灵活,可能出现脚本中的命令在系统上不试用,可以自己在换命令,所以当个配置查询也不错。有什么更好的建议大家可以在提提,在修改下,让功能更完善。
    游客,如果您要查看本帖隐藏内容请回复


    下载地址:
    游客,如果您要查看本帖隐藏内容请回复




    上一篇:黑苹果笔记本亮度调节教程
    下一篇:Cobaltstrike 3.14正式版破解+汉化
    回复

    使用道具 举报

    0

    主题

    0

    精华

    4 小时

    在线时间

    新手上路

    Rank: 1

    积分
    2
    发表于 2019-6-29 19:08:14 | 显示全部楼层
    666牛皮666
    回复 支持 反对

    使用道具 举报

    15

    主题

    0

    精华

    14 小时

    在线时间

    密圈

    积分
    13
    发表于 2019-7-2 18:52:22 | 显示全部楼层
    最近有需要应急响应方面的工具以及思路,表哥这就出了!很及时!
    回复 支持 反对

    使用道具 举报

    7

    主题

    0

    精华

    122 小时

    在线时间

    密圈

    积分
    44
    发表于 2019-7-5 13:02:42 | 显示全部楼层
    最近在学习这个,大哥,给力,谢谢啊

    回复 支持 反对

    使用道具 举报

    0

    主题

    0

    精华

    58 小时

    在线时间

    荣誉会员

    Rank: 8Rank: 8

    积分
    29
    发表于 2019-7-15 14:16:53 | 显示全部楼层
    感谢楼主分享
    回复 支持 反对

    使用道具 举报

    游客
    回复
    您需要登录后才可以回帖 登录 | 获取账号

    快速回复 返回顶部 返回列表