本文章向大家介绍15.Linux和Windows入侵排查,主要内容包括Linux和Windows入侵排查、一、应急响应概述、1、安全事件分类、2、黑客攻击的目的、3、应急响应的流程、二、Linux入侵排查、1、系统资源、2、用户和日志、3、文件和命令篡改、使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。
Linux和Windows入侵排查
目录
一、应急响应概述 1、安全事件分类恶意程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件
2、黑客攻击的目的窃取数据、加密勒索、瘫痪服务、挖矿、跳板机
3、应急响应的流程信息收集、类型判断、原因分析、事件处置、编写报告
二、Linux入侵排查 1、系统资源(1)CPU内存磁盘
(2)系统进程
(3)网络连接
2、用户和日志(1)系统用户检查
(2)审计日志检查
(3)历史命令
3、文件和命令篡改(1)系统文件篡改
(2)系统命令篡改
(3)SSH key文件
4、启动项和定时任务(1)chkconfig
命令用于检查,设置系统的各种服务。
(2)systemctl
Systemctl是一个systemd工具,主要负责控制systemd系统和服务管理器。
(3)自启动文件
(4)定时任务
三、Linux应急措施 1、隔离主机 2、阻断通信 3、清除病毒(1)kill -9 [pid]
(2)杀守护进程
4、清可疑用户 5、关启动项和服务(1)chkconfig --del TEST
(2)systemctl disable 服务名
6、文件与后门(1)系统命令篡改
(2)定时任务
(3)SSH key
(4)SUDO
(5)SUID
7、杀毒、重装系统、恢复数据 四、Windows入侵排查 1、系统账号安全(1)弱口令
(2)可疑账号
(3)隐藏、克隆账号
(4)登录时间
2、检查异常端口、进程(1)端口
端口情况:netstat -ano
进程情况:tasklist|findstr “进程号”
taskkill /f /t /im httpd.exe
(2)进程
任务管理器
3、启动项(1)msconfig
(2)注册表regedit
(3)火绒-安全工具-启动项管理
4、计划任务(1)taskschd.msc
(2)compmgmt.msc
(3)schtasks.exe
5、服务(1)services.msc
6、策略组(1)gpedit.msc
7、检查系统相关信息(1)查找可疑目录文件
(2)最近打开文件
(3)回收站、浏览器下载目录、浏览器历史记录
(4)根据内容搜索恶意文件
(5)最新修改文件
(6)systeminfo.exe > systeminfo.txt
原文地址:https://www.cnblogs.com/candada/p/17276379.html