安全應急與響應

時間 2019-11-08

原文原文鏈接

進入安全運營部分的內容。php

對於運營這個詞你們可能不陌生，任何的活動、產品甚至內容都須要運營，運營作的事大部分是涵蓋了整個項目、產品全部環節，好比產品運營，產品上線前須要搞清楚產品定位和目標用戶，而後用戶使用了產品，運營還須要收集和分析用戶數據，參與優化產品，同時還少不了活動策劃、用戶溝通等；這其中少不了須要進行內容建設、用戶維護等，總體其實圍繞的就是爲了讓產品更好，用的人更多，帶來的效益更高。html

那麼安全運營又是啥？目的是爲了啥？前端

在說安全運營以前，咱們先來講說企業安全的需求。咱們常把企業安全掛在口頭講，但你們能講清楚企業安全的需求是什麼嗎?mysql

企業安全需求整體是保障安全，可能不少同窗的答案也是這個，但具體怎麼保障呢？又包含哪些方面呢？包含但不限於如下方面：linux

問題收斂就是經過一些檢測手段、規範和流程，最大限度的避免安全問題的產生，或者在產品上線前或者上線後主動發現和修復問題；流程和規範這塊主要經過安全開發流程和安全規範，基於相關流程規範進行開發和運維，能最大限度的避免一些人爲不經意引入的安全問題；而經過代碼審計、漏洞掃描等方式，能夠主動發現業務代碼中可能存在的漏洞，內部及時修復，避免致使的後續損失和風險擴大。web

風險感知包含事前和事中感知，事前經過威脅情報、漏洞跟蹤等方式提早預知可能面對的安全風險，提早制定相關安全方案進行應對、防範和修復；而事中則主要是入侵檢測爲主，在安全問題被利用的時候能夠及時感知而且即便掐斷黑客入侵渠道，避免損失擴大。正則表達式

至於攻擊防護，主要的是DDoS和Web應用攻擊，DDoS方面須要有必定的預案和承受能力，在受到攻擊要保障業務穩定不受影響；而Web攻擊則一樣須要阻斷的能力，經過在邊界部署WAF能夠有效防護和阻斷。redis

安全合規主要是爲了知足相關合規需求，特別是針對一些金融等對安全級別要求比較高的企業，國家制定了一系列如等保的條例和要求，企業須要在各個方面知足合規要求才能進入對應市場提供相關服務。sql

至於最後的安全管理和應急響應，主要是穿插在各個環節中，也是安全運營的主要工做內容。在各個不一樣的環節都須要安全管理配置，如問題收斂中須要推行安全規範，這裏就涉及管理的工做，而在入侵檢測檢測到入侵行爲則須要應響應配置，進行溯源和入侵點排查等。shell

以上就是企業安全的一些需求，安全運營就是從以上的各個方面入手保障安全。

如何去知足上面列的那些點呢？在企業安全的建設中，是否是購買一些安全產品就能夠了？固然不是的，安全是一個變化、複雜的工程，是一個持續過程，這在過程當中少不了運營的工做，而毫不是購買幾個安全產品放在那就能夠了，安全產品更多的時候是安全運營的工具。回顧咱們以前的課程，好比在攻擊防護方面有針對Web攻擊的WAF，有針對DDoS攻擊的抗D產品，而在使用這些產品的過程，歷來沒有哪款產品敢說能夠把全部的東西交給他們，而無需安全人員的干預，實則好比WAF，經過安全運營人員參與進行鍼對業務的規則配置，才能更好的起到防禦的做用。

總體來講，安全運營的目的是推動安全流程，感知和肯定安全威脅，實施控制安全風險，保障系統中信息資產的安全。

如何去落地這些安全運營工做？安全運營的工做須要爲效果負責，因此說不限於使用什麼樣的方式。

一般咱們評估自身業務場景和規模，能夠選擇購買相關安全產品並輔於一些開源或者自研工具完成對應監控、檢測、運維、防禦等安全流程和體系，這裏會具體到一些具體的項裏，咱們經過漏洞收斂來舉例：

漏洞的收斂通常會從源頭遏制、事中檢測、過後修復總結以及隨時響應三塊去落地：

源頭

一、推進推進SDL，安全開發流程來規範開發，在開發環節避免產生漏洞

二、白盒代碼審計及業務上線前安全檢查，如經過在CI系統，也就是持續集成中加入自動化的代碼靜態或者動態檢查，提早發現存在漏洞的代碼進行修復

三、創建運維、發佈安全規範，強制要求業務增長相關安全規則及防禦措施

事中檢測

一、弱口令、高危端口等週期檢測

二、日誌、流量審計檢測，發現漏洞利用狀況

三、黑盒測試、安全衆測等手段手發現漏洞，這裏安全衆測包含SRC的方式

過後修復總結

一、外部報告漏洞響應和推進修復

二、總結漏洞，針對性培訓和推進相關安全規範增強

三、內部PR，經過內部宣傳增強員工安全意識

隨時響應

一、隨時隨地關注最新漏洞動態和情報，評估本身的業務系統是否可能受影響，及影響範圍，針對性進行處理

以上就是關於漏洞收斂這一個項的一些點，固然這些點可能不是徹底覆蓋了各個方面，但應該覆蓋大部分狀況，經過多種手段和方式的推動和落地，在這過程當中須要一些安全工具包含安全產品的輔助，如自動化動靜態代碼審計、漏洞掃描、黑盒測試、日誌、流量審計等，須要具備必定能力的對應安全產品和工具進行輔助，以此才能真正推進相關東西的落地。

這就是關於安全運營的落地，咱們只是舉了一個漏洞收斂這個例子，但其實是不是每一個企業都要實行我上面列舉的那麼多點呢？因企業而異，須要考慮辦公和業務部署環境，區分對待，主要針對重點資源實現嚴格策略，對次要資產實現普通策略，不能以一律全。

除了以上的內容，在安全運營中你們有的時候還會常常聽到安全運營中心，也就是SOC，Security Operations Center。通常地，SOC被定義爲：以資產爲核心，以安全事件管理爲關鍵流程，採用安全域劃分的思想，創建一套實時的資產風險模型，協助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中安全管理系統。

通俗的講，SOC是一個安全運營的統一管理平臺。過去咱們都讓安全專家來管理各類類型的防火牆、IDS和諸如此類的安全措施，這主要是由於安全問題通常都發生在網絡中很是具體的某個地點。可是，如今的狀況已經變化，安全問題已經再也不像當年那麼簡單。安全是一個動態的過程，由於敵方攻擊手段在變，攻擊方法在變，漏洞不斷出現；我方業務在變，軟件在變，人員在變，妄圖經過一個系統、一個方案解決全部的問題是不現實的，也是不可能的，安全須要不斷地運營、持續地優化。安全措施應當被實施在應用層、網絡層和存儲層上。

構建SOC的目的是爲了安全運維或者運營，經過聯動各個安全產品，統一的管理和規則配置；藉助SOC能夠幫助安全運營人員更好的構建企業安全體系，響應相關安全問題和事件。

到了今天，你們已經就安全造成廣泛共識，安全是一個動態的過程，是一個複雜的工程，須要持續的進行，因此安全運營的將變得愈來愈重要，而傳統買完安全產品就放置無論，期望實現檢測和防護的狀況將會被捨棄。

安全運營是長期之事，具體細節有不少的內容，咱們今天課程時間有限，就不展開細講了，在後續課程咱們將會針對一些經典場景和案例進行說明，那麼今天課程就到這裏了，謝謝你們。

擴展閱讀：

一、金融行業企業安全運營之路 https://36kr.com/p/5055947.html

二、如何建設一個安全運營中心 https://www.freebuf.com/articles/es/177919.html

2 漏洞跟蹤響應與預警

一、甲方漏洞跟蹤響應流程圖

三、怎麼作漏洞跟蹤與預警？

3.1 怎麼及時關注到最新的漏洞？通常有幾種方式：

一、自建監控系統，經過爬蟲主動爬取網上公開的漏洞發佈平臺、安全資訊平臺、RSS訂閱源、相關著名安全研究人員的Twitter、微博等，爬取最新的符合條件，如特定關鍵詞的漏洞信息，而後根據本身關注的組件進行篩選和郵件、短信推送等

二、關注微信朋友圈、羣等社交平臺安全行業內公司、人員發佈的最新消息

三、一些安全團隊、公司每日推送的安全預警內容

四、經過一些漏洞跟蹤預警產品

3.2 在解決了監控問題，就須要專人跟蹤評估每次爆發的漏洞，判斷爆發的漏洞組件在本身公司業務中是否被使用，這裏怎麼判斷呢？可能就涉及到另一塊內容，叫作資產普查，須要安全人員對本身公司業務使用的組件內心有數，由於在大部分時候，公司服務器和業務過多的狀況下，運維或者開發人員也沒有誰可以說清楚都用了哪些組件。

3.3 在跟蹤漏洞的過程當中主要要關注漏洞的危害程度和漏洞利用及影響版本，影響版本是用來判斷本身公司業務中使用的該組件版本是否在影響範圍內，而危害程度和漏洞利用則決定了這個漏洞對企業可能形成的損失；漏洞利用主要看着漏洞是否容易被利用，是否已經有PoC和Exp被公開出來了，若是有的話，則說明任何的黑客均可以垂手可得的使用該漏洞，若是沒公開則說明只有一些頂尖的黑客才能利用漏洞或者漏洞利用方式根本沒被公開，那麼事情的嚴重程度就會降一個級別；而漏洞危害程度主要看漏洞類型，好比一個遠程命令執行和XSS的危害程度徹底不是一個層面的，XSS最多能夠被利用進行欺詐等行爲，而遠程命令執行則可能致使服務器直接淪爲黑客肉雞。

3.4 在跟蹤的同時須要根據漏洞最新的狀況制定相應的安全修復方案，而且在同一時間普查公司全部受影響的業務，及時推進業務進行修復，這些都是要在評估漏洞影響後的第一時間並行處理的，漏洞的跟蹤響應及推進修復要爭取在1小時內，這樣才能最大程度的避免損失，這個就是咱們俗稱的黃金1小時。

3.5 最後的話，推進修復漏洞後不是這樣就完了，而是還要從新驗證以前普查的影響業務是否都修復了，同時針對利用該漏洞的入侵須要在相關IDS等添加規則，避免前面環節的遺漏而致使黑客利用該漏洞入侵，這樣也能及時感知並及時止損。而後整個流程結束後，還應該增長內宣也就是內部宣傳，讓業務團隊意識漏洞的嚴重程度和安全團隊作這些事的目的，以及增強培訓、作總結，不斷改進流程和配合等。

3 事件響應與處理1：入侵勒索加密

一、常見的勒索解密工具

網址：http://www.bkill.com/t/27056.html?_t=1553428507

二、常見的勒索病毒

一、Phobos病毒

中毒特徵：<原文件名>.ID-<隨機8位字符串>.<郵件地址>.Phobos

勒索信息：Encrypted.txt Phobos.hta data.hta

特徵示例： readme.txt.ID-16E86DC7.[grunresrife1985@aol.com].phobos

特徵後綴收集： [grunresrife1985@aol.com].phobos

二、GANDCRAB病毒

病毒版本：GANDCRAB V5.0.4 GANDCRAB V5.1 GANDCRAB V5.2

中毒特徵：<原文件名>.隨機字符串

勒索信息：隨機字符串-DECRYPT.txt 隨機字符串-MANUAL.txt

特徵示例： readme.txt.pfdjjafw

三、GlobeImposter 3.0病毒（十二生肖病毒）

中毒特徵：<原文件名>.XXXX4444

勒索信息：HOW_TO_BACK_FILES.txt how_to_back_files.htm

特徵示例： readme.txt.Monkey4444

特徵後綴收集： .China4444 .Help4444 .Rat4444 .Ox4444 .Tiger4444 .Rabbit4444 .Dragon4444 .Snake4444 .Horse4444 .Goat4444 .Monkey4444 .Rooster4444 .Dog4444 .all4444 .Pig4444 .Alco4444等

四、Crysis（Dharma）病毒

中毒特徵：<原文件名>.ID-<隨機8位字符串>.<郵件地址>.特徵後綴

勒索信息：FILES ENCRYPTED.txt data files encrypted.txt info.hta

特徵示例： readme.txt.ID-16E86DC7.[writehere@qq.com].btc readme.txt.id-F06E54C7.[decryptmyfiles@qq.com].ETH

特徵後綴收集： .ETH .btc .adobe .bkpx .tron .bgtx .combo .gamma .block .bip .arrow .cesar .arena btc@fros.cc zikr@protonmail.comzikra@protonmail.com zikr@usa.comdecryptmyfiles@qq.com bebenrowan@aol.comMailPayment@decoder.com helpfilerestore@india.comdecryptmyfiles@qq.com decryptprof@qq.com1701222381@qq.com btccrypthelp@cock.li

五、CryptON（x3m）病毒

中毒特徵：<原文件名>.<隨機字符串ID>.<郵件地址>.x3m

勒索信息：DECRYPT-MY-FILES.txt HOW TO DECRYPT FILES.htm

特徵示例： readme.txt.id16e86dc7[unlock@cock.li].x3m

特徵後綴收集： .x3m .nemesis .x3m-pro .X3M .mf8y3 .nem2end

六、PRCP（Matrix變種）病毒

中毒特徵：[郵件地址].密文1-密文2.PRCP

勒索信息：#README_PRCP#.rtf

特徵示例： [radrigoman@protonmail.com].A6QkjniCc-Plvdd5kn.PRCP

radrigoman@tutanota.com radrigoman@airmail.cc

特徵後綴收集： .PRCP

七、Clop病毒

中毒特徵：<原文件名>.Clop

勒索信息：ClopReadMe.txt

特徵示例：ReadMe.txt.Clop

mangagersmaers@tutanota.com

特徵後綴收集： .Clop

八、PyLocky病毒

中毒特徵：<原文件名>.pyd

勒索信息：LOCKY_README.txt

特徵示例：ReadMe.txt.pyd ReadMe.txt.lockymap

特徵後綴收集：.pyd .lockedfile .lockymap

九、其餘病毒

特徵示例：

{mattpear@protonmail.com}MTP

{Benjamin_Jack2811@aol.com}BJ

{Benjamin_Jack2811@aol.com}AOL

{MOLLYGREENS@PROTONMAIL.COM}MG

{mrgrayhorse@protonmail.com}MGH

{CALLMEGOAT@protonmail.com}CMG

{colin_farel@aol.com}XX sicck@protonmail.comsatan_pro@mail.ru skunkwoman_next@aol.comskunkwoman@india.com gotham_back@ao.comgotham_back@india.com crazyfoot_granny@aol.comcrazyfoot_granny@india.com mr_chack@aol.commr_chack33@india.com true_offensive@aol.comtrue_offensive777@india.commakgregorways@aol.com makgregorways@india.comyaya_captain@aol.com yaya_captain999@india.comdream_dealer@aol.com dream_dealer@india.comlin_chao1@aol.com bigbig_booty@aol.combigbig_booty@india.com sexy_chief@aol.comsexy_chief18@india.com third_work@aol.comthird3_work@india.com greenpeace-wtf@ao.comgreenpeace_28@india.com alcohol_walker@aol.comalcohol_walker@india.com vya_technology@aol.comvya_technology33@india.comcrypted_yoshikada@cock_lu techosupport@protonmail.com reserve_player@aol.frreserve_player11@india.com payday@cock.lifuck4u@cock.li mr_chack@aol.commr_chack33@india.com sexy_chief@aol.comlin_chao1@aol.com true_offensive@aol.comfreeman.dor@aol.com nmare@cock.liBenjamin_Jack2811@aol1.com colin_farel@aol3.compayransom@qq.com decryptdata@qq.com email-lybot@rape.lol_mrscratch Admin@decryption.bizfastsupport@airmail2.cc waltipanvi1983@aol.comstopencrypt@qq.com hellstaff@india1.comjohnsmith3210@india.com fileslocker@pm2.metravolta_john@aol1.com tttttlocked@protonmail.comdecryptprof@qq.com colin_farel@aol1.comcondneparrio1976@aol.com unlock@cock.liclaymore@airmail.cc eight@india.comcolin_farel@aol2.com Fruttella1@outlook.com1btcpayment@protonmail.comanticrypt@countermail.com online24files@airmail2.ccnmare@protonmail.com fairman@cock.lidreamunricha1981@aol.com candy@firemail.ccreturnfiles@airmail.cc AndDora@india.comHelperBTC@cock.li syndicateXXX@aol.com

特徵後綴收集：

.HRM .ITLOCK .rapid .master .Lock .sicck .lucky .satan .Boom .Indrik .aes256 .tunca .vacv2 .bin .locked_by_mR_Anonymous(TZ_HACKERS) .luudjvu .udjvu .udjvuq .satana .vulston .wq2k (B2DR病毒) .nano (Scarab病毒) .nostro .cryptoid(RICKROLL LOCKER病毒) .tfudet .Djvur .Djvuu .djvut .rumba .tfudeq(Stop病毒) .xcry7684 (XCry病毒) .gif .AUF (Dharma病毒) .data .PC-FunHACKED!-Hello (Jigsaw病毒) .xyz (Paradise病毒) GMPF (Matrix病毒) .[Traher@Dr.Com] (Scarab病毒) .Anatova病毒 .jundmd@cock.li raphaeldupon@aol.com.btc .obfuscated .GMBN .SPCT .CHRB .PLANT .PEDANT (Matrix病毒) .xwx .USA .best .heets .qwex .air .888 .frend .amber .KARLS (Dharma病毒) .healforyou .ANAMI (GlobeImposter系列) .krab .cupcupcup .crash .GEFEST3 .secure .nosafe (Scarab病毒) .pennywise .paycoin (Jigsaw病毒) .[Jaffe@Tuta.Io] (Jaffe病毒) .adobe .rumba (Stop病毒) .cryptotes (Rotorcrypt病毒) .STUB (Paradise病毒) .locked (LockerGoga病毒) .vaca .mbrcodes .mafee .Mcafee (Xorist病毒) .cosanostra (GarrantyDecrypt病毒) .cripton(Creeper病毒)

.auchentoshan

4 事件響應與處理2：機器被黑挖礦

擴展閱讀：

Hadoop Yarn REST API未受權漏洞利用挖礦分析： https://mp.weixin.qq.com/s/fF6a5Yhl5y6eSVskYtYSvw

Linux Redis自動化挖礦感染蠕蟲分析及安全建議： https://mp.weixin.qq.com/s/inazTPN5mHJYnt2QDliv8w

安全研究 | Linux 遭入侵，挖礦進程被隱藏案例分析： https://mp.weixin.qq.com/s/1AF5cgo_hJ096LmX7ZHitA

一、挖礦木馬處置流程

1.一、瞭解現狀

第一時間瞭解目前什麼狀況：

 安全設備告警？

 CPU使用率忽然很高？

 內網主機掛了？

1.二、瞭解發病時間

 設備告警最先發生時間？

 CPU使用率忽然很高的開始時間？

 主機宕機時間？

瞭解事件發生時間，後面以此時間點作排查重點；

1.三、瞭解系統架構[服務器類型、網絡拓撲等

 服務器類型：windows、linux

 cms：dedecms、phpcms、trs cms等

 中間件、容器、框架、數據庫：tomcat、iis、apache、weblogic、struts、mysql等

 腳本語言：asp、php、jsp等

 業務架構：如前端網頁內容是不是後端經過ftp上傳的（新聞網偏多）等

這裏瞭解的信息要儘可能詳細，爲下一步分析收集足夠證據；

1.四、確認感染者

經過上面的定位，確認中招主機：

1.五、處置建議

斷網或ACL隔離；

結束惡意進程；

提取木馬樣本；

刪除木馬；

1.六、防護措施

安裝殺毒軟件，對被感染機器進行安全掃描和病毒查殺；

對系統進行補丁更新，封堵病毒傳播途徑；

制定嚴格的口令策略，避免弱口令；

結合備份的網站日誌對網站應用進行全面代碼審計，找出攻擊者利用的漏洞入口進行封堵；

二、案例1、挖礦木馬處置01

（1）事件概述

發現多臺服務器被植入挖礦木馬；

（2）事件分析

登陸被感染挖礦木馬的服務器：x.x.x.x 首先經過本地DNS流量解析發現該機器確實存在挖礦木馬；

➜ipconfig /displaydns 顯示 DNS 解析程序緩存的內容

登陸的這臺機器能夠看到DNS解析過該域名，由此判斷該機器中了挖礦木馬，

使用相關工具分析發現其中csrss.exe進程爲假裝的系統進程，經過該進程有2個派生進程sqlserver.exe和mscorswv.exe，其中sqlserver.exe爲loader程序負責加載mscorswv.exe和配置文件：

經過查看mscorswv.exe配置發現該程序會鏈接：xmr.crypt-pool.fr

經過對該木馬分析後發現該木馬會建立名稱爲：system_updatea的系統服務；

（3）結論

最後清理後，統一查看網絡鏈接、進程、等是否正常，

5 入侵分析與溯源1：認識和了解溯源及思路

一、勒索病毒處置流程

二、挖礦木馬處置流程

三、DDos攻擊處置流程

2.3.一、瞭解現狀

第一時間瞭解目前什麼狀況：

l 流量異常增大？

l 哪些系統、業務受影響？

l 安全設備告警？

2.3.二、瞭解發病時間

l 流量異常發生時間？

l 設備告警發生時間？

瞭解事件發生時間，後面以此時間點作排查重點；

2.3.三、瞭解系統架構[網絡拓撲、系統架構等]

l 瞭解當前的網絡架構以及網絡設備狀況，同時瞭解業務系統架構，相關安全設備是否有告警等；

l 瞭解當前帶寬總量，是否爲重要業務系統設置QoS，進行帶寬獨享以及優化。

這裏瞭解的信息要儘可能詳細，爲下一步分析收集足夠證據；

2.3.四、事件排查[知識點]

一、查看相關網絡設備或安全設備，查看在異常時間段是否存在異常流量高峯；二、根據流量狀況統計，查看流量分佈狀況，TCP以及UDP協議的流量分佈狀況，是否有明顯的突增狀況。

三、根據流量狀況統計，查看流量協議的分佈狀況，查看入網的流量何種應用層協議的分佈明顯突增，如HTTP、DNS、SMB等。

判斷依據：

（1）根據TCP/UDP層以及應用層協議的流量突增狀況，可區分出當前遭受到的攻擊是網絡層攻擊或應用層攻擊以及屬於哪種協議的攻擊；

（2）CC攻擊所佔用的資源分爲三種，分別爲：帶寬、Web鏈接數、數據庫鏈接數；目的一般是消耗網絡資源以及系統性能資源，致使訪問緩慢或業務系統崩潰。經過分析異常時間段內的Web訪問日誌或流量中HTTP訪問記錄，分析是否存在異常訪問；主要關注IP分佈、各個IP的請求數、請求URL。

l 帶寬：

通常佔用帶寬的狀況，主要表現爲頻繁大量的訪問大資源文件，Web服務器的鏈接數並不高，但長期訪問大資源文件，將致使帶寬佔滿，致使業務中斷，如訪問rar、zip、數據備份、媒體資源文件等；

l Web鏈接數：

通常佔用Web服務器的鏈接數，主要表現爲頻繁大量的訪問Web系統上的URL，包括動態資源或靜態資源，將致使Web服務器的鏈接數佔滿，沒法接收處置新的請求，最終致使業務中斷；針對Web鏈接數的CC攻擊可觀察到當前有異常多的網絡鏈接數以及Web服務進程的CPU使用率太高；

l 數據庫鏈接數：

通常佔用Web服務器的鏈接數同時佔用數據庫鏈接數，主要表現爲頻繁大量的訪問Web系統上的動態資源URL，每次請求將建立一個HTTP會話鏈接以及一次數據庫鏈接，將可能致使數據庫鏈接數佔滿，同時Web服務器的鏈接數也可能佔滿，沒法接收處置新的請求，最終致使業務中斷；針對數據庫鏈接數的CC攻擊可觀察到當前有異常多的來自Web服務器的鏈接，同時數據庫進程的CPU使用率太高。

（3）如流量無明顯突增，則多是設備或應用故障形成，不符合DDoS的攻擊特徵。

6 入侵分析與溯源2：常見溯源方法

擴展閱讀：

安全研究 | Linux 遭入侵，挖礦進程被隱藏案例分析 https://mp.weixin.qq.com/s/1AF5cgo_hJ096LmX7ZHitA

Linux 日誌分析： https://www.cnblogs.com/yingsong/p/6022181.html

黑客入侵應急分析手工排查： https://www.cnblogs.com/shellr00t/p/6943796.html

PCHunter下載： http://www.xuetr.com/

Linux排查[綜合]

一、文件排查

（1）敏感目錄的文件分析[類/tmp目錄，命令目錄/usr/bin /usr/sbin等]

ls 用來顯示目標列表

-a 顯示全部檔案及目錄（ls內定將檔案名或目錄名稱爲「.」的視爲影藏，不會列出）；

-C 多列顯示輸出結果。這是默認選項；

-l 以長格式顯示目錄下的內容列表。輸出的信息從左到右依次包括文件名，文件類型、權限模式、硬鏈接數、全部者、組、文件大小和文件的最後修改時間等；

-t 用文件和目錄的更改時間排序；

（2）查看tmp目錄下的文件➜➜➜ ls –alt /tmp/

如圖，發現多個異常文件，疑似挖礦程序病毒：

對已發現的惡意文件進行分析，查看559.sh腳本內容：腳本先是殺掉服務器上cpu佔用大於20%的進程，而後從遠程27.155.87.26（福建，黑客所控制的一個IDC服務器）下載了病毒程序並執行;

（3）查看開機啓動項內容➜➜➜ls -alt /etc/init.d/，/etc/init.d 是 /etc/rc.d/init.d 的軟連接

（4）安時間排序查看指定目錄下文件➜➜➜ls -alt | head -n 10

針對可疑文件可使用stat進行建立修改時間、訪問時間的詳細查看，若修改時間距離事件日期接近，有線性關聯，說明可能被篡改或者其餘。

（1）Access Time：簡寫爲atime，表示文件的訪問時間。當文件內容被訪問時，更新這個時間。

（2）Modify Time：簡寫爲mtime，表示文件內容的修改時間，當文件的數據內容被修改時，更新這個時間。

（3）Change Time：簡寫爲ctime，表示文件的狀態時間，當文件的狀態被修改時，更新這個時間，例如文件的連接數，大小，權限，Blocks數。

（5）查看歷史命令記錄文件~/.bash_history

查找~/.bash_history命令執行記錄，主要分析是否有帳戶執行過惡意操做系統；命令在linux系統裏，只要執行過命令的用戶，那麼在這個用戶的HOME目錄下，都會有一個.bash_history的文件記錄着這個用戶都執行過什麼命令；

那麼當安全事件發生的時候，咱們就能夠經過查看每一個用戶所執行過的命令，來分析一下這個用戶是否有執行惡意命令，若是發現哪一個用戶執行過惡意命令，那麼咱們就能夠鎖定這個線索，去作下一步的排查；

（6）查看操做系統用戶信息文件/etc/passwd

查找/etc/passwd文件， /etc/passwd這個文件是保存着這個linux系統全部用戶的信息，經過查看這個文件，咱們就能夠嘗試查找有沒有攻擊者所建立的用戶，或者存在異常的用戶。咱們主要關注的是第三、4列的用戶標識號和組標識號，和倒數一二列的用戶主目錄和命令解析程序。通常來講最後一列命令解析程序若是是設置爲nologin的話，那麼表示這個用戶是不能登陸的，因此能夠結合咱們上面所說的bash_history文件的排查方法。首先在/etc/passwd中查找命令解釋程序不是nologin的用戶，而後再到這些用戶的用戶主目錄裏，找到bash_history，去查看這個用戶有沒執行過惡意命令。

/etc/passwd中一行記錄對應着一個用戶，每行記錄又被冒號(:)分隔爲7個字段，其格式和具體含義以下：

用戶名:口令:用戶標識號:組標識號:註釋性描述:主目錄:登陸Shell

（7）查看新增文件

find：在指定目錄下查找文件

-type b/d/c/p/l/f查是塊設備、目錄、字符設備、管道、符號、鏈接、普通文件

-mtime -n +n 按文件更改時間來查找文件，-n指n天之內，+n指n天前

-atime -n +n 按文件訪問時間來查找文件，-n指n天之內，+n指n天前

-ctime -n +n 按文件建立時間來查找文件，-n指n天之內，+n指n天前

find ./ -mtime 0 -name "*.php"（查找24小時內被修改的php文件）

find / -ctime 2（查找72小時內新增的文件）

PS：-ctime 內容未改變權限改變時候也能夠查出；

grep 一種強大的文本搜索工具，它能使用正則表達式搜索文本，並把匹配的行打印出來

-v 反轉查找

-E 使用正則表達式選項

-n 輸出包含匹配字符串的行數

--color=auto 標記匹配顏色

tail 查看檔案的結尾，默認顯示最後十行

-f 動態顯示文件最新追加的內容；

（8）特殊權限的文件查看

查找777的權限的文件➜➜➜ find / *.jsp -perm 4777

（9）隱藏的文件（以 "."開頭的具備隱藏屬性的文件）

PS：在文件分析過程當中，手工排查頻率較高的命令是 find grep ls 核心目的是爲了關聯推理出可疑文件；

2.4.2.二、進程排查

（1）使用top命令實時動態地查看系統的總體運行狀況，主要分析CPU和內存多的進程，是一個綜合了多方信息監測系統性能和運行信息的實用工具

字段含義以下表：

列名

含義

PID

進程id

PPID

父進程id

UID

進程全部者的用戶id

USER

進程全部者的用戶名

GROUP

進程全部者的組名

TTY

啓動進程的終端名

優先級

nice值；負值表示高優先級，正值表示低優先級

RES

進程使用的、未被換出的物理內存大小，單位kb。RES=CODE+DATA

SHR

共享內存大小，單位kb

進程狀態：

D=不可中斷的睡眠狀態

R=運行

S=睡眠

T=跟蹤/中止

Z=殭屍進程

%CPU

上次更新到如今的CPU時間佔用百分比

%MEM

進程使用的物理內存百分比

TIME

進程使用的CPU時間總計，單位秒

TIME+

進程使用的CPU時間總計，單位1/100秒

COMMAND

命令名/命令行

（2）用netstat 網絡鏈接命令，分析可疑端口、可疑IP、可疑PID及程序進程

netstat用於顯示與IP、TCP、UDP和ICMP協議相關的統計數據，通常用於檢驗本機各端口的網絡鏈接狀況。

選項參數:

-a 顯示全部連線中的Socket。

-n 直接使用IP地址，而不經過域名服務器。

-t 顯示TCP傳輸協議的連線情況。

-u 顯示UDP傳輸協議的連線情況。

-v 顯示指令執行過程。

-p 顯示正在使用Socket的程序識別碼和程序名稱。

-s 顯示網絡工做信息統計表。

netstat –antlp | more

說明：

a） "Recv-Q"和"Send-Q"指的是接收隊列和發送隊列。

b） Proto顯示鏈接使用的協議；RefCnt表示鏈接到本套接口上的進程號；Types顯示套接口的類型；State顯示套接口當前的狀態；Path表示鏈接到套接口的其它進程使用的路徑名。

c）套接口類型：

-t TCP

-u UDP

-raw RAW類型

--unix UNIX域類型

--ax25 AX25類型

--ipx ipx類型

--netrom netrom類型

d）狀態說明：

LISTENING 偵聽狀態

ESTABLISHED 創建鏈接

CLOSE_WAIT 對方主動關閉鏈接或網絡異常致使鏈接中斷

如圖，可查看到本地mysql數據庫有外部鏈接行爲：

（3）根據netstat 定位出的pid，使用ps命令，分析進程

-a 表明 all。同時加上x參數會顯示沒有控制終端的進程

-aux 顯示全部包含其餘使用者的行程（ps -aux --sort -pcpu | less根據cpt使用率進行排序）

-C 顯示某的進程的信息

-axjf 以樹形結構顯示進程

-e 顯示全部進程。和 -A 相同。

-f 額外全格式

-t ttylist by tty 顯示終端ID在ttylist列表中的進程

ps aux | grep pid | grep –v grep

將netstat與ps 結合：

可使用lsof -i:1677 查看指定端口對應的程序；

lsof：

lsof（list open files）是一個列出當前系統打開文件的工具。在linux環境下，任何事物都以文件的形式存在，經過文件不只僅能夠訪問常規數據，還能夠訪問網絡鏈接和硬件。因此如傳輸控制協議 (TCP) 和用戶數據報協議 (UDP) 套接字等，系統在後臺都爲該應用程序分配了一個文件描述符，不管這個文件的本質如何，該文件描述符爲應用程序與基礎操做系統之間的交互提供了通用接口。由於應用程序打開文件的描述符列表提供了大量關於這個應用程序自己的信息。

lsof filename 顯示打開指定文件的全部進程

lsof -i 用以顯示符合條件的進程狀況，在終端下輸入lsof便可顯示系統打開的文件，由於 lsof 須要訪問核心內存和各類文件，因此必須以 root 用戶的身份運行它纔可以充分地發揮其功能。

COMMAND：進程的名稱

PID 進程標識符

USER 進程全部者

FD 文件描述符，應用程序經過文件描述符識別該文件。如cwd、txt等

TYPE 文件類型，如DIR、REG等

DEVICE 指定磁盤的名稱

SIZE 文件的大小

NODE 索引節點（文件在磁盤上的標識）

NAME 打開文件的確切名稱

（4）使用ls 以及 stat 查看系統命令是否被替換

兩種思路：

l 查看命令目錄最近的時間排序

l 根據肯定時間去匹配

ls -alt /usr/bin | head -10

ls -al /bin /usr/bin /usr/sbin/ /sbin/ | grep "Jan 15"

備註：若是日期數字<10，中間須要兩個空格。好比1月1日，grep 「Jan 1」

（5）隱藏進程查看

ps -ef | awk '{print}' | sort -n | uniq >1

ls /proc | sort -n |uniq >2

diff 1 2

2.4.2.三、系統信息排查

（1）查看分析history (cat /root/.bash_history)，曾經的命令操做痕跡，以便進一步排查溯源。運氣好有可能經過記錄關聯到以下信息：

a) wget 遠程某主機（域名&IP）的遠控文件；

b) 嘗試鏈接內網某主機（ssh scp），便於分析攻擊者意圖;

c) 打包某敏感數據或代碼，tar zip 類命令

d) 對系統進行配置，包括命令修改、遠控木馬類，可找到攻擊者關聯信息…

（2）查看分析用戶相關分析

a) useradd userdel 的命令時間變化（stat），以及是否包含可疑信息

b) cat /etc/passwd 分析可疑賬號，可登陸賬號

查看UID爲0的賬號➜➜➜awk -F: '{if($3==0)print $1}' /etc/passwd

查看可以登陸的賬號➜➜➜cat /etc/passwd | grep -E "/bin/bash$"

PS：UID爲0的賬號也不必定都是可疑賬號，Freebsd默認存在toor賬號，且uid爲0.（toor 在BSD官網解釋爲root替代賬號，屬於可信賬號）；

（3）查看分析任務計劃

crontab -u <-l, -r, -e>

-u 指定一個用戶

-l 列出某個用戶的任務計劃

-r 刪除某個用戶的任務

-e 編輯某個用戶的任務（編輯的是/var/spool/cron下對應用戶的cron文件，也能夠直接修改/etc/crontab文件）

l 經過crontab –l 查看當前的任務計劃有哪些，是否有後門木馬程序啓動相關信息；

l 查看etc目錄任務計劃相關文件，ls /etc/cron*

（4）查看linux 開機啓動程序

l 查看rc.local文件（/etc/init.d/rc.local /etc/rc.local）

l ls –alt /etc/init.d/

l chkconfig

chkconfig是管理系統服務(service)的命令行工具，對開機啓動的可疑程序進行更改；

設置service啓動信息：

chkconfig name on/off/reset

設置service運行級別

chkconfig --level levels

（5）查看系統用戶登陸信息

a）使用lastlog命令，系統中全部用戶最近一次登陸信息。

b) 使用lastb命令，用於顯示用戶錯誤的登陸列表；

c) 使用last命令，用於顯示用戶最近登陸信息（數據源爲/var/log/wtmp，var/log/btmp）；

utmp文件中保存的是當前正在本系統中的用戶的信息。

wtmp文件中保存的是登陸過本系統的用戶的信息。

/var/log/wtmp 文件結構和/var/run/utmp 文件結構同樣，都是引用/usr/include/bits/utmp.h 中的struct utmp；

（6）系統路徑分析

echo $PATH 分析有無敏感可疑信息

（7）指定信息檢索

l strings命令在對象文件或二進制文件中查找可打印的字符串；

l 分析sshd 文件，是否包括IP信息strings /usr/bin/.sshd | grep '[1-9]{1,3}.[1-9]{1,3}.'

*PS：此正則不嚴謹，但匹配IP已夠用；

l 根據關鍵字匹配命令內是否包含信息（如IP地址、時間信息、遠控信息、木馬特徵、代號名稱）；

（8）查看ssh相關目錄有無可疑的公鑰存在

l Redis（6379）未受權惡意入侵，便可直接經過redis到目標主機導入公鑰；

l 目錄： /etc/ssh ./.ssh/

2.4.2.四、後門排查

（1）系統後門排查

➜chkrootkit：

chkrootkit是用來監測 rootkit 是否被安裝到當前系統中的工具。rootkit ，是一類入侵者常用的工具。這類工具一般很是的隱祕、令用戶不易察覺，經過這類工具，入侵者創建了一條可以常時入侵系統，或者說對系統進行實時控制的途徑。因此，咱們要用 chkrootkit 來定時監測系統，以保證系統的安全。

下載連接：（www.chkrootkit.org）

chkrootkit主要功能：

l 檢測是否被植入後門、木馬、rootkit

l 檢測系統命令是否正常

l 檢測登陸日誌

a) chkrootkit安裝：

rpm -ivh chkrootkit-0.47-1.i386.rpm

b) 檢測

# chkrootkit –n；若是發現有異常，會報出「INFECTED」字樣。

c) 定時檢測

chkrootkit自帶的腳本並無包括定時檢測部分，而考慮到該工具的做用。建議編寫一個腳本，並加入計劃任務中。並把腳本加入crontab中：cp -p ./chkrootkit.sh /etc/cron.daily/

➜Rkhunter：

rkhunter是Linux系統平臺下的一款開源入侵檢測工具，具備很是全面的掃描範圍，除了可以檢測各類已知的rootkit特徵碼之外，還支持端口掃描、經常使用程序文件的變更狀況檢查。

rkhunter主要功能：

l 系統命令（Binary）檢測，包括Md5 校驗

l Rootkit檢測

l 本機敏感目錄、系統配置、服務及套間異常檢測

l 三方應用版本檢測

➜RPM check檢查

系統完整性也能夠經過rpm自帶的-Va來校驗檢查全部的rpm軟件包,有哪些被篡改了,防止rpm也被替換,上傳一個安全乾淨穩定版本rpm二進制到服務器上進行檢查。

./rpm -Va > rpm.log

若是一切均校驗正常將不會產生任何輸出。若是有不一致的地方，就會顯示出來。輸出格式是8位長字符串,c 用以指配置文件, 接着是文件名. 8位字符的每個用以表示文件與RPM數據庫中一種屬性的比較結果。 . (點) 表示測試經過。.下面的字符表示對RPM軟件包進行的某種測試失敗：

下圖可知ps, pstree, netstat, sshd等等系統關鍵進程被篡改了：

➜Webshell Check

Webshell的排查能夠經過文件、流量、日誌三種方式進行分析，基於文件的命名特徵和內容特徵，相對操做性較高，在入侵後排查過程當中頻率也比較高。

a）Webshell的排查能夠經過可根據webshell特徵進行命令查找，簡單的可以使用(固然會存在漏報和誤報)

find /var/www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval \(str_rot13|\.chr\(|\$\{\"\_P|eval\(\$\_R|file_put_contents\(\.\*\$\_|base64_decode'

b）Github上存在各類版本的webshell查殺腳本，各有各的本身的特色，可以使用河馬shell查殺（shellpub.com）

綜上所述，經過chkrootkit 、rkhunter、RPM check、Webshell Check 等手段得出如下應對措施：

1.根據進程、鏈接等信息關聯的程序，查看木馬活動信息。

2.假如系統的命令（例如netstat ls 等）被替換，爲了進一步排查，須要下載一新的或者從其餘未感染的主機拷貝新的命令。

3.發現可疑可執行的木馬文件，不要急於刪除，先打包備份一份。

4.發現可疑的文本木馬文件，使用文本工具對其內容進行分析，包括回連IP地址、加密方式、關鍵字（以便擴大整個目錄的文件特徵提取）等。

（2）手工Webshell排查

經過文件內容中的危險函數，去找到網站中的web後門。最多見的Webshell文件內容中常見的惡意函數：

PHP

Eval、System、assert、……

JSP

getRunTime、 FileOutputStream、……

ASP

eval、execute、 ExecuteGlobal、……

➜➜➜find /var/www/html/ -type f -name '*.php'|xargs grep 'eval' |more

除了經過grep去找webshell，咱們還能夠用相似 D盾之類的webshell查殺工具，把源碼拖下來在本機查殺。

有時候黑客在上傳完webshell後門，獲取到本身想要的信息後，就會刪除掉webshell，又或者遇到了一些變形過的webshell後門，咱們的關鍵字沒有搜索到，這時候經過文件去找到webshell的方法就不適用了。那麼這個時候就只能經過分析web日誌，來找到黑客的webshell文件。直接分析web日誌的最直接方式就是經過web日誌中的特徵來判斷是否存在惡意的webshell後門，好比上面列表展現的這些常見webshell會傳遞的get參數。常見webshell後門日誌特徵以下：

Darkblade：goaction=login

JspSpy：o=login

PhpSpy：action=phpinfo

Regeorg： cmd=connect

Other：cmd=

不過這種方式能發現的問題很少，由於不少時候web後門接收參數的方式都是post，前面說了大部分中間件默認狀況下只能記錄get，若是須要記錄post的話，就須要安裝第三方模塊。

Ps：常規黑客攻擊流程，一個黑客一般經過web漏洞獲取管理員密碼進入後臺，而後上傳webshell，這個webshell文件在之前的訪問記錄是沒有的，那麼咱們就能夠經過統計天天訪客所訪問過的動態腳本文件，來列出天天新增長的文件入口的記錄，快速查找webshell後門，最後咱們能夠根據統計低頻訪問的動態腳本文件，來找出多是webshell的文件，由於通常來講webshell的訪問ip只有幾個，而且訪問的次數也很少，那麼根據這個分析模型，咱們就能夠發現多是惡意的動態腳本文件。此排查須要懂一點了解編程，做爲思路瞭解。

2.4.2.五、日誌排查

Linux系統擁有很是靈活和強大的日誌功能，能夠保存幾乎全部的操做記錄，並能夠從中檢索出咱們須要的信息。大部分Linux發行版默認的日誌守護進程爲 syslog，位於 /etc/syslog 或 /etc/syslogd 或/etc/rsyslog.d，默認配置文件爲 /etc/syslog.conf 或 rsyslog.conf，任何但願生成日誌的程序均可以向 syslog 發送信息。

Linux系統內核和許多程序會產生各類錯誤信息、警告信息和其餘的提示信息，這些信息對管理員瞭解系統的運行狀態是很是有用的，因此應該把它們寫到日誌文件中去。完成這個過程的程序就是syslog。syslog能夠根據日誌的類別和優先級將日誌保存到不一樣的文件中。

（1）日誌類型

下面是和排查相關的常見日誌類型，但並非全部的Linux發行版都包含這些類型：

類型

說明

auth

用戶認證時產生的日誌，如login命令、su命令。

authpriv

與 auth 相似，可是隻能被特定用戶查看。

console

針對系統控制檯的消息。

cron

系統按期執行計劃任務時產生的日誌。

daemon

某些守護進程產生的日誌。

ftp

FTP服務。

kern

系統內核消息。

mail

郵件日誌。

mark

產生時間戳。系統每隔一段時間向日志文件中輸出當前時間，每

行的格式相似於 May 26 11:17:09 rs2 -- MARK --，能夠由此

推斷系統發生故障的大概時間。

news

網絡新聞傳輸協議(nntp)產生的消息。

ntp

網絡時間協議(ntp)產生的消息。

user

用戶進程。

（2）日誌優先級：

優先級

說明

emerg

緊急狀況，系統不可用（例如系統崩潰），通常會通知全部用戶。

alert

須要當即修復，例如系統數據庫損壞。

crit

危險狀況，例如硬盤錯誤，可能會阻礙程序的部分功能。

err

通常錯誤消息。

warning

警告。

notice

不是錯誤，可是可能須要處理。

info

通用性消息，通常用來提供有用信息。

debug

調試程序產生的信息。

none

沒有優先級，不記錄任何日誌消息。

（3）經常使用日誌文件

日誌目錄

做用

/var/log/message

包括總體系統信息

/var/log/auth.log

包含系統受權信息，包括用戶登陸和使用的權限機制等

/var/log/userlog

記錄全部等級用戶信息的日誌

/var/log/cron

記錄crontab命令是否被正確的執行

/var/log/vsftpd.log

記錄Linux FTP日誌

/var/log/lastlog

記錄登陸的用戶，可使用命令lastlog查看

/var/log/secure

記錄大多數應用輸入的帳號與密碼，登陸成功與否

var/log/wtmp

記錄登陸系統成功的帳戶信息，等同於命令last

var/log/faillog

記錄登陸系統不成功的帳號信息，通常會被黑客刪除

（4）日誌配置

linux系統日誌相關配置文件爲/etc/rsyslog.conf（syslog.conf），如下是對配置文件各項配置；

（5）日誌分析

日誌查看分析，主要爲grep,sed,sort,awk的綜合運用；

5.一、基於時間的日誌管理：

5.1.一、/var/log/wtmp

l /var/log/wtmp是一個二進制文件，記錄每一個用戶的登陸次數和持續時間等信息；

l last命令

last命令用於顯示用戶最近登陸信息。單獨執行last命令，它會讀取/var/log/wtmp的文件，並把該給文件的內容記錄的登入系統的用戶名單所有顯示出來；

-f: <記錄文件>：指定記錄文件

-a：把從何處登入系統的主機名稱或ip地址，顯示在最後一行

5.1.二、/var/run/utmp

/var/run/utmp是一個二進制文件，記錄當前登陸系統的用戶信息。可用who命令顯示當中的內容，Who的缺省輸出包括用戶名、終端類型、登陸日期及遠程主機；

5.1.三、/var/log/lastlog(lastlog)

/var/log/lastlog記錄用戶最後登陸的時間和登陸終端的地址，可以使用lostlog命令查看；

5.1.四、/var/log/btmp(lastb)

/var/log/btmp記錄錯誤登陸的日誌，可以使用lostb查看，有不少黑客試圖使用密碼字典登陸ssh服務，可使用此日誌查看惡意ip試圖登陸次數；

PS：登陸日誌能夠關注Accepted、Failed password 、invalid特殊關鍵字；

5.二、系統日誌

/var/log/secure

安全日誌secure包含驗證和受權方面信息，好比最經常使用的遠程管理協議ssh，就會把全部受權信息都記錄在這裏。因此經過查看該日誌，咱們就能查看是否有人爆破ssh，經過查看存在過爆破記錄的ip是否有成功登陸的行爲，咱們就能知道是否有攻擊者經過ssh暴力破解的方式成功攻擊進來了。經過時間的緯度去判斷，能夠查看出是機器行爲仍是人爲的，機器登陸事件間隔特別密；

主要分析點：是否有ip爆破ssh成功；

定位有多少IP在爆破主機的root賬號：

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

登陸成功的IP有哪些：

grep "Accepted " /var/log/ secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

5.三、中間件日誌

Web攻擊的方法多種多樣，可是默認狀況下Web日誌中所能記錄的內容並不算豐富，最致命的是web日誌是不會記錄post內容的，想要從Web 日誌中直接找出攻擊者的webshell是很是難的，因此通常來講咱們的分析思路都是先經過文件的方式找到webshell，而後再從日誌裏找到相應的攻擊者ip，再去分析攻擊者的整個攻擊路徑，來回溯攻擊者的全部行爲；

但各類各樣的緣由，如黑客在入侵完了以後把webshell刪除了，經過文件搜索的方式找不到webshell或者只能經過分析web日誌去發現webshell，好比這時候要排查的話，難度會稍大。Web日誌主要分析access_log，本文以常見的中間件apache爲例，其餘中間件日誌格式和分析思路大同小異；

Apache默認自動生成兩個日誌文件，訪問日誌access_log和error_log；

Apache日誌字段說明：

字段

說明

遠程主機IP

代表是誰訪問了網站

空白(E-mail)

爲了不用戶的郵箱被垃圾郵件騷擾，第二項就用「-」取代了

空白(登陸名)

用於記錄瀏覽者進行身份驗證時提供的名字

請求時間

用方括號包圍，並且採用「公用日誌格式」或者「標準英文格式」。時間信息最後的「+0800」表示服務器所處時區位於UTC以後的8小時