Windows和Linux操作系统（查杀后门木马，处理勒索病毒.）

显示全部楼层 · 发表于转帖 2022-6-4 19:00:05

应急响应的概括：
应急响应”对应的英文是“Incident Response”或“Emergency Response”等，通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措.
网络安全应急响应：针对已经发生的或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全.

应急响应阶段：
保护阶段：断网，备份重要文件（防止攻击者，这些期间删除文件重要文件.）
分析阶段：分析攻击行为，找出相应的漏洞.
复现阶段：复现攻击者攻击的过程，有利于了解当前环境的安全问题和安全检测.
修复阶段：对相应的漏洞提出修复.
建议阶段：对漏洞和安全问题提出合理解决方案.
目的：分析出攻击时间，攻击操作，攻击后果，安全修复等并给出合理解决方案.

操作系统（windows 和 linux）应急响应：
（1）常见危害：暴力破解，漏洞利用，流量攻击，木马控制(Webshell，PC木马等)，病毒感染(挖矿，蠕虫，勒索等)
（2）常见分析：计算机账户，端口，进程，网络，启动，服务，任务，文件等安全问题.

常见日志类别及存储：
（1）Windows系统：（2）Linux系统：
工具下载  链接：https://pan.baidu.com/s/1N67KmETtTmMOSrG-l0-iDA
                     提取码：tian
应急响应 Windows和Linux操作系统步骤：
系统日志分析：
安装 LogFusion 工具.（Windows系统日志）

打开日志：点击 Open Other  -->>  Open Event Log  -->> 应用程序 || 系统

（1）应用程序事件日志.

（2）系统事件日志.

Linux系统日志.
/var/log/ //日志的位置.

（1）统计了下日志，确认服务器遭受多少次暴力破解.
grep -o "Failed password" /var/log/secure|uniq -c

（2）输出登录爆破的第一行和最后一行，确认爆破时间范围.
grep "Failed password" /var/log/secure|head -1
grep "Failed password" /var/log/secure|tail -1

（3）进一步定位有哪些 IP 在爆破.
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr

（4）爆破用户名字典都有哪些.
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

（5）登录成功的日期、用户名、IP.
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

查找后门木马：
查看进程（PCHunter）