微信扫一扫 分享朋友圈

已有 102 人浏览分享

开启左侧

Windows和Linux操作系统(查杀 后门木马,处理 勒索病毒.)

[复制链接]
102 0
应急响应的概括:
    应急响应”对应的英文是“Incident Response”或“Emergency Response”等,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措.
    网络安全应急响应:针对已经发生的或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全.

    应急响应阶段:
    保护阶段:断网,备份重要文件(防止攻击者,这些期间删除文件重要文件.)
    分析阶段:分析攻击行为,找出相应的漏洞.
    复现阶段:复现攻击者攻击的过程,有利于了解当前环境的安全问题和安全检测.
    修复阶段:对相应的漏洞提出修复.
    建议阶段:对漏洞和安全问题提出合理解决方案.   
    目的:分析出攻击时间,攻击操作,攻击后果,安全修复等并给出合理解决方案.

    操作系统(windows 和 linux)应急响应:
    (1)常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC木马等),病毒感染(挖矿,蠕 虫,勒索等)
    (2)常见分析:计算机账户,端口,进程,网络,启动,服务,任务,文件等安全问题.

    常见日志类别及存储:
    (1)Windows系统:(2)Linux系统:
    工具下载  链接:https://pan.baidu.com/s/1N67KmETtTmMOSrG-l0-iDA
                        提取码:tian
    应急响应 Windows和Linux操作系统步骤:
    系统日志分析 :
    安装 LogFusion 工具.(Windows系统日志)

    打开日志:点击 Open Other  -->>  Open Event Log  -->> 应用程序 || 系统
image.png
(1)应用程序事件日志.
image.png
(2)系统事件日志.
image.png
Linux系统日志.
/var/log/                    //日志的位置.

(1)统计了下日志,确认服务器遭受多少次暴力破解.
grep -o "Failed password" /var/log/secure|uniq -c

(2)输出登录爆破的第一行和最后一行,确认爆破时间范围.
grep "Failed password" /var/log/secure|head -1
grep "Failed password" /var/log/secure|tail -1

(3)进一步定位有哪些 IP 在爆破.
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr

(4)爆破用户名字典都有哪些.
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

(5)登录成功的日期、用户名、IP.
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

查找 后门木马:      
查看进程(PCHunter)

image.png
image.png
image.png
image.png

Windows查杀木马:
大家可以下载一些安全软件进行扫描和查杀.
火绒安全软件:火绒安全

image.png
电脑管家:一键杀毒_盗号保护_垃圾清理_软件管理-腾讯电脑管家官网
image.png

Linux主机排查:
cd GScan-master                //下载工具,然后切换工具目录.
python GScan.py --sug --pro                    //检测木马

image.png
image.png
image.png

Linux查杀木马.(Clamav)
apt update           

image.png
apt install clamav-daemon -y         //下载clamav杀毒.
image.png
freshclam            //更新病毒库
image.png
clamscan -r -i /root -l /root/clamav.log        //-r扫描目录,-i只显示被感染的文件,-l是保存的日志文件.
image.png
处理 勒索病毒.
勒索病毒分析:深信服EDR      

image.png
勒索软件在线下载的解密工具:免费勒索软件解密工具 | 解锁您的文件 | Avast
image.png
收集的勒索软件解密工具:
image.png
image.png
image.png

免责声明:
1,海欣资源网所发布的资源由网友上传和分享,不保证信息的正确性和完整性,且不对因信息的不正确或遗漏导致的任何损失或损害承担责任。
2,海欣资源网的资源来源于网友分享,仅限用于学习交流和测试研究目的,不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。
3,海欣资源网所发布的资源由网友上传和分享,版权争议与本站无关,您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。
4,如果您喜欢,请支持正版,购买正版,得到更好的正版服务,如有侵权,请联系我们删除并予以真诚的道歉,联系方式邮箱 haixinst@qq.com
海欣资源-企业信息化分享平台。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

0

关注

0

粉丝

27

主题
热度排行
回复排行
最新贴子

Archiver|手机版|小黑屋|海欣资源 ( 湘ICP备2021008090号-1 )|网站地图

GMT+8, 2022-10-3 09:26 , Gzip On, MemCache On.

免责声明:本站所发布的资源和文章均来自网络,仅限用于学习交流和测试研究目的,不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。 本站信息来自网络,版权争议与本站无关,您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。 如果您喜欢,请支持正版,购买正版,得到更好的正版服务,如有侵权,请联系我们删除并予以真诚的道歉。