74应急响应-winlinux分析后门勒索病毒攻击

#操作系统(windows,linux)应急响应:

1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等)。

2.常见分析:计算机账户,端口,进程,网络,启动(木马需要运行,除了伪装成正常文件就是自启动),服务,任务,文件(文件权限)等安全问题 

常见日志类别及存储:

Windows,Linux 

日志文件默认存储路径

补充资料:

10款常见的Webshell检测工具:https://xz.aliyun.com/t/485

史上最全Windows安全工具锦集:https://www.secpulse.com/archives/114019.html

Sysinternals:https://docs.microsoft.com/en-us/sysinternals/

病毒分析:

PCHunter:www.anxinsec.com

火绒剑:https://www.huorong.cn

Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

Process Hacker:https://processhacker.sourceforge.io/downloads.php

AutoRuns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL(无法访问):https://www.bleepingcomputer.com/download/otl/

sysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector

病毒查杀:

卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe

大蜘蛛:http://free.drweb.ru/download+cureit+free

火绒安全软件:https://www.huorong.cn

360杀毒:http://sd.360.cn/download_center.html

病毒动态:

CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn

微步在线威胁情报社区:https://x.threatbook.cn

火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html

爱毒霸社区:http://bbs.duba.net

腾讯电脑管家:http://bbs.guanjia.qq.com

在线病毒扫描网站:

多引擎在线病毒扫描网:http://www.virscan.org

腾讯哈勃分析系统:https://habo.qq.com

Jotti恶意软件扫描系统:https://virusscan.jotti.org

ScanVir:http://www.scanvir.com 

木马和病毒是两个东西,木马是控制电脑,病毒是把电脑里面的文件什么的搞得不正常,比如勒索病毒。

攻击响应-暴力破解(RDP,SSH)-Win,Linux 

windows

这个直接打开事件查看器

主要的就是应用程序,安全,系统这三个,但是看着比较麻烦,还有id对应的意思也要去网上查,

windows自带日志工具不好用,查找分析不方便,推荐使用插件LogFusion 

利用工具rdp爆破之后

日志就看到了大量的登陆失败,还可以双击某一条查看详细信息

然后id4624代表成功,可以搜一下4624看看有没有被爆破成功

然后就可以看到那个ip登录成功了

linux系统

通常都在var/log下面

Linux-grep筛选:

1、统计日志中“Failed password”出现过多少次,确认服务器遭受多少次暴力破解

    grep -o "Failed password" /var/log/secure|uniq -c

2、输出登录爆破的第一行和最后一行,确认爆破时间范围

    grep "Failed password" /var/log/secure|head -1  第一次

    grep "Failed password" /var/log/secure|tail -1    最后一次

3、筛选IP地址,定位有哪些IP在爆破

    grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr

4、筛选爆破字典,确定爆破用户名字典都有哪些

    grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

5、筛选登录成功的日期、用户名、IP

    grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

    grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more 

只要指定文件正确,这些口令就直接复制粘贴就行

控制响应-后门木马(Webshell,PC)-Win,Linux 

背景;用cs在靶机上植入木马exe文件,运行之后,在cs上线

TCPView

TCPView能筛选网络进程的链接指向,是官方工具

打开TCPView,点击“Remote Address”筛选远程主机

TCPView可能发现不了后门进程 

Process Explorer

Process Explorer可以查看当前运行的所有进程,是官方工具

找到问题进程可以右键“属性”,查看进程的详细信息 

PCHunter

PCHunter是一个集成化工具 

蓝颜色就不是系统自带的,然后后门还有厂商介绍,没有厂商就很可能是恶意文件进程,但是如果apt入侵的话,上传的马都是免杀的,而且改有信息的都有,甚至伪装成杀软信息

在这里会展示每一个盘下面的隐藏文件,因为木马还会做隐藏,

木马会设置计划任务或者开机自启动

UserAssistView

UserAssistView可以查看文件执行记录,是官方工具

找到后门文件后,可以通过该文件查看后门文件的执行情况 

LogonSessions

LogonSessions可以查看当前会话,是官方工具

可以用来分析有没有远程连接

Autoruns

Autoruns可以查看Windows上的自启动项目 

Linux-自动化响应检测-Gscan多重功能脚本测试:

自动化响应检测工具:GScan、chkrootkit、rkhunter、lynis

GScan下载:https://github.com/grayddq/GScan/ 

启动使用之后

运行Gscan

    python GScan.py -h

弱点建议提示哪里可能被作为入侵点,和攻击风险都会有介绍在什么时候被什么攻击过,

除Gscan外,还有chkrootkit、rkhunter、lynis等工具

危害响应-病毒感染(勒索 WannaCry)-Windows

经典勒索病毒

打开什么文档文件,都会弹出这个界面

它属于逆向的技术

推荐2个勒索病毒解密网站

https://lesuobingdu.360.cn/

上传文件分析

https://www.nomoreransom.org/zh/index.html 

上传加密文件,会给出是那种加密类型,还会给出解密建议,如何下载它建议的软件,

都有可能解密不成功

中毒原因;ms10170,没打补丁,自己在网上乱下东西

xing

fu

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/334590.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

有趣的前端知识(二)

推荐阅读 智能化校园&#xff1a;深入探讨云端管理系统设计与实现&#xff08;一&#xff09; 智能化校园&#xff1a;深入探讨云端管理系统设计与实现&#xff08;二&#xff09; 文章目录 推荐阅读HTML元素元素属性头部元素列表元素区块元素表单元素 颜色字符实体 HTML元素 …

从零学算法17

17.给定一个仅包含数字 2-9 的字符串&#xff0c;返回所有它能表示的字母组合。答案可以按 任意顺序 返回。 给出数字到字母的映射如下&#xff08;与电话按键相同&#xff09;。注意 1 不对应任何字母。 示例 1&#xff1a; 输入&#xff1a;digits “23” 输出&#xff1a;[…

加速科技ST2500 数模混合信号测试设备累计装机量突破500台!

国产数字机&#xff0c;测试中国芯&#xff01;新年伊始&#xff0c;国产半导体测试设备领军企业加速科技迎来了振奋人心的一刻&#xff0c;ST2500 数模混合信号测试设备累计装机量突破500台&#xff01;加速科技凭借其持续的创新能力、完善的解决方案能力、专业热忱的本地化服…

论文阅读:Making Large Language Models A Better Foundation For Dense Retrieval

论文链接 Abstract 密集检索需要学习区分性文本嵌入来表示查询和文档之间的语义关系。考虑到大型语言模型在语义理解方面的强大能力&#xff0c;它可能受益于大型语言模型的使用。然而&#xff0c;LLM是由文本生成任务预先训练的&#xff0c;其工作模式与将文本表示为嵌入完全…

Git将本地项目上传到Gitee仓库

1.右键点击文件&#xff0c;点击Git Bash Here,进入git窗口 2.初始化本地仓库 git init3.将本地仓库与远程仓库建立连接 git remote add origin 远程仓库地址远程仓库地址在gitee仓库复制即可 4.将远程仓库的文件拉到本地仓库中 git pull origin master5.将本地文件全部上传…

RocketMQ5-03RocketMQ-Dashboard和Java客户端访问示例

接上篇02快速部署RocketMQ5.x(手动和容器部署) 已经完成 RocketMQ5.0 环境的部署&#xff0c;就需要对这个环境进行测试&#xff0c;查看集群、写入消息、读取消息等 本篇教你如何使用和查看部署的服务&#xff1a; Docker部署 Dashboard 获取镜像并下载部署服务 客户端连接 …

python画房子

前言 今天&#xff0c;我们来用Python画房子。 一、第一种 第一种比较简单。 代码&#xff1a; import turtle as t import timedef go(x, y):t.penup()t.goto(x, y)t.pendown() def rangle(h,w):t.left(180)t.forward(h)t.right(90)t.forward(w)t.left(-90)t.forward(h) de…

Stable Diffusion 系列教程 - 6 Dreambooth及训练

Stable-Diffusion、Imagen等文生图大模型已经具备了强大的生成能力&#xff0c;假设我们的Prompt为 [Cyberpunk Style]&#xff0c;SD或许能很快画出赛博朋克风格的一幅画。但你作为一个不知名的人&#xff0c;不能奢求SD在训练的时候把你自己想要的风格也加进去吧&#xff1f;…

鸿蒙应用开发学习路线(OpenHarmony/HarmonyOS)

鸿蒙应用开发学习路线&#xff08;OpenHarmony/HarmonyOS&#xff09; HarmonyOS应用开发学习路线网站汇总社区汇总视频学习路线 OpenHarmony应用开发学习路线与资料网站汇总社区汇总学习路线 MarkDown工具推荐 HarmonyOS应用开发学习路线 作者&#xff1a;坚果 团队&#xff1…

Verilog 高级教程笔记——持续更新中

Verilog advanced tutorial 转换函数 调用系统任务任务描述int_val $rtoi( real_val ) ;实数 real_val 转换为整数 int_val 例如 3.14 -> 3real_val $itor( int_val ) ;整数 int_vla 转换为实数 real_val 例如 3 -> 3.0vec_val $realtobits( real_val ) ;实数转换为…

企业级快速开发平台可以用在什么行业?优点多吗?

应用专业的企业级快速开发平台可以带来什么效果&#xff1f;目前&#xff0c;低代码技术平台在很多领域都获得了广泛应用和推广&#xff0c;在实现高效率办公、流程化办公和数字化发展中扮演了非常重要的角色&#xff0c;具有举足轻重的作用。针对这个话题&#xff0c;现在将给…

react输入框检索树形(tree)结构

input搜索框搜索树形子级内容1. input框输入搜索内容2. 获取tree结构数据3. 与tree匹配输入的内容&#xff0c;tree是多维数组&#xff0c;一级一级的对比输入的内容是否匹配&#xff0c;用forEach循环遍历数据&#xff0c;匹配不到在往下找&#xff0c;直到找到为null &#x…