1 事件分類

常見的安全事件：

1. Web入侵：掛馬、篡改、Webshell
2. 系統入侵：系統異常、RDP爆破、SSH爆破、主機漏洞
3. 病毒木馬：遠控、后門、勒索軟件
4. 信息泄漏：脫褲、數據庫登錄（弱口令）
5. 網絡流量：頻繁發包、批量請求、DDoS攻擊

2 排查思路

一個常規的入侵事件后的系統排查思路：

 

1. 文件分析?a) 文件日期、新增文件、可疑/異常文件、最近使用文件、瀏覽器下載文件?b) Webshell 排查與分析?c) 核心應用關聯目錄文件分析
2. 進程分析?a) 當前活動進程 & 遠程連接?b) 啟動進程&計劃任務?c) 進程工具分析? i. windows:Pchunter? ii. linux: Chkrootkit&Rkhunter
3. 系統信息?a) 環境變量?b) 帳號信息?c) History?d) 系統配置文件
4. 日志分析?a) 操作系統日志? i. Windows: 事件查看器（eventvwr）? ii. Linux: /var/log/?b) 應用日志分析? i. Access.log? ii. Error.log

3 分析排查

3.1 Linux系列分析排查

3.1.1 文件分析

1. 敏感目錄的文件分析（類/tmp目錄，命令目錄/usr/bin /usr/sbin）?例如:?查看tmp目錄下的文件： ls –alt /tmp/?查看開機啟動項內容：ls -alt /etc/init.d/?查看指定目錄下文件時間的排序：ls -alt | head -n 10?針對可疑文件可以使用stat進行創建修改時間、訪問時間的詳細查看，若修改時間距離事件日期接近，有線性關聯，說明可能被篡改或者其他。

 

1. 新增文件分析?例如要查找24小時內被修改的JSP文件： find ./ -mtime 0 -name "*.jsp"?（最后一次修改發生在距離當前時間n24小時至(n+1)24 小時）?查找72小時內新增的文件find / -ctime -2?PS：-ctime 內容未改變權限改變時候也可以查出?根據確定時間去反推變更的文件?ls -al /tmp | grep "Feb 27"
2. 特殊權限的文件?查找777的權限的文件 find / *.jsp -perm 4777
3. 隱藏的文件（以 "."開頭的具有隱藏屬性的文件）
4. 在文件分析過程中，手工排查頻率較高的命令是 find grep ls 核心目的是為了關聯推理出可疑文件。

3.1.2 進程命令

1. 使用netstat 網絡連接命令，分析可疑端口、可疑IP、可疑PID及程序進程netstat –antlp | more

 

1. 使用ps命令，分析進程

ps aux | grep pid | grep –v grep

 

將netstat與ps 結合，可參考vinc牛的案例：

 

 

（可以使用lsof -i:1677 查看指定端口對應的程序）

1. 使用ls 以及 stat 查看系統命令是否被替換。?兩種思路：第一種查看命令目錄最近的時間排序，第二種根據確定時間去匹配。?ls -alt /usr/bin | head -10?ls -al /bin /usr/bin /usr/sbin/ /sbin/ | grep "Jan 15"

 

PS：如果日期數字<10，中間需要兩個空格。比如1月1日，grep “Jan 1”

1. 隱藏進程查看

ps -ef | awk '{print}' | sort -n | uniq >1
ls /proc | sort -n |uniq >2
diff 1 2

3.1.3 系統信息

history (cat /root/.bash_history)
/etc/passwd
crontab  /etc/cron*
rc.local  /etc/init.d chkconfig
last
$PATH
strings

1. 查看分析history (cat /root/.bash_history)，曾經的命令操作痕跡，以便進一步排查溯源。運氣好有可能通過記錄關聯到如下信息：a) wget 遠程某主機（域名&IP）的遠控文件；b) 嘗試連接內網某主機（ssh scp），便于分析攻擊者意圖;c) 打包某敏感數據或代碼，tar zip 類命令d) 對系統進行配置，包括命令修改、遠控木馬類，可找到攻擊者關聯信息…
2. 查看分析用戶相關分析?a) useradd userdel 的命令時間變化（stat），以及是否包含可疑信息b) cat /etc/passwd 分析可疑帳號，可登錄帳號查看UID為0的帳號：awk -F: '{if($3==0)print $1}' /etc/passwd查看能夠登錄的帳號：cat /etc/passwd | grep -E "/bin/bash$"PS：UID為0的帳號也不一定都是可疑帳號，Freebsd默認存在toor帳號，且uid為0.（toor 在BSD官網解釋為root替代帳號，屬于可信帳號）

 

1. 查看分析任務計劃a) 通過crontabl –l 查看當前的任務計劃有哪些，是否有后門木馬程序啟動相關信息；b) 查看etc目錄任務計劃相關文件，ls /etc/cron*
2. 查看linux 開機啟動程序a) 查看rc.local文件（/etc/init.d/rc.local /etc/rc.local）b) ls –alt /etc/init.d/c) chkconfig
3. 查看系統用戶登錄信息a) 使用lastlog命令，系統中所有用戶最近一次登錄信息。b) 使用lastb命令，用于顯示用戶錯誤的登錄列表c) 使用last命令，用于顯示用戶最近登錄信息（數據源為/var/log/wtmp，var/log/btmp）? utmp文件中保存的是當前正在本系統中的用戶的信息。? wtmp文件中保存的是登錄過本系統的用戶的信息。? /var/log/wtmp 文件結構和/var/run/utmp 文件結構一樣，都是引用/usr/include/bits/utmp.h 中的struct utmp

 

1. 系統路徑分析a) echo $PATH 分析有無敏感可疑信息
2. 指定信息檢索a) strings命令在對象文件或二進制文件中查找可打印的字符串b) 分析sshd 文件，是否包括IP信息strings /usr/bin/.sshd | egrep '[1-9]{1,3}.[1-9]{1,3}.'PS：此正則不嚴謹，但匹配IP已夠用c) 根據關鍵字匹配命令內是否包含信息（如IP地址、時間信息、遠控信息、木馬特征、代號名稱）
3. 查看ssh相關目錄有無可疑的公鑰存在。a) redis（6379） 未授權惡意入侵，即可直接通過redis到目標主機導入公鑰。b) 目錄： /etc/ssh ./.ssh/

3.1.4 后門排查

除以上文件、進程、系統 分析外，推薦工具：

? chkrootkit rkhunter（www.chkrootkit.org rkhunter.sourceforge.net）

Ø chkrootkit

(迭代更新了20年)主要功能：

1. 檢測是否被植入后門、木馬、rootkit
2. 檢測系統命令是否正常
3. 檢測登錄日志
4. 詳細參考README

 

Ø rkhunter主要功能：

1. 系統命令（Binary）檢測，包括Md5 校驗
2. Rootkit檢測
3. 本機敏感目錄、系統配置、服務及套件異常檢測
4. 三方應用版本檢測

 

Ø RPM check檢查

系統完整性也可以通過rpm自帶的-Va來校驗檢查所有的rpm軟件包,有哪些被篡改了,防止rpm也被替換,上傳一個安全干凈穩定版本rpm二進制到服務器上進行檢查

./rpm -Va > rpm.log

如果一切均校驗正常將不會產生任何輸出。如果有不一致的地方，就會顯示出來。輸出格式是8位長字符串, c 用以指配置文件, 接著是文件名. 8位字符的每一個 用以表示文件與RPM數據庫中一種屬性的比較結果 。 . (點) 表示測試通過。.下面的字符表示對RPM軟件包進行的某種測試失敗：

5 MD5 校驗碼
S 文件尺寸
L 符號連接
T 文件修改日期
D 設備
U 用戶
G 用戶組
M 模式e (包括權限和文件類型)

借用sobug文章案例：如下圖可知ps, pstree, netstat, sshd等等系統關鍵進程被篡改了

 

Ø Webshell查找

? Webshell的排查可以通過文件、流量、日志三種方式進行分析，基于文件的命名特征和內容特征，相對操作性較高，在入侵后應急過程中頻率也比較高。

可根據webshell特征進行命令查找，簡單的可使用(當然會存在漏報和誤報)

find /var/www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|(gunerpress|(base64_decoolcode|spider_bc|shell_exec|passthru|($_POST[|eval (str_rot13|.chr(|${"_P|eval($_R|file_put_contents(.*$_|base64_decode'

1. Webshell的排查可以通過
2. Github上存在各種版本的webshell查殺腳本，當然都有自己的特點，可使用河馬shell查殺（shellpub.com）

綜上所述，通過chkrootkit 、rkhunter、RPM check、Webshell Check 等手段得出以下應對措施：

1. 根據進程、連接等信息關聯的程序，查看木馬活動信息。
2. 假如系統的命令（例如netstat ls 等）被替換，為了進一步排查，需要下載一新的或者從其他未感染的主機拷貝新的命令。
3. 發現可疑可執行的木馬文件，不要急于刪除，先打包備份一份。
4. 發現可疑的文本木馬文件，使用文本工具對其內容進行分析，包括回連IP地址、加密方式、關鍵字（以便擴大整個目錄的文件特征提?。┑?。

3.1.5 日志分析

日志文件
/var/log/message       包括整體系統信息
/var/log/auth.log        包含系統授權信息，包括用戶登錄和使用的權限機制等
/var/log/userlog         記錄所有等級用戶信息的日志。
/var/log/cron           記錄crontab命令是否被正確的執行
/var/log/xferlog(vsftpd.log)記錄Linux FTP日志
/var/log/lastlog         記錄登錄的用戶，可以使用命令lastlog查看
/var/log/secure         記錄大多數應用輸入的賬號與密碼，登錄成功與否
var/log/wtmp　　      記錄登錄系統成功的賬戶信息，等同于命令last
var/log/faillog　　      記錄登錄系統不成功的賬號信息，一般會被黑客刪除

1. 日志查看分析，grep,sed,sort,awk綜合運用
2. 基于時間的日志管理：/var/log/wtmp/var/run/utmp/var/log/lastlog(lastlog)/var/log/btmp(lastb)
3. 登錄日志可以關注Accepted、Failed password 、invalid特殊關鍵字
4. 登錄相關命令lastlog 記錄最近幾次成功登錄的事件和最后一次不成功的登錄 who 命令查詢utmp文件并報告當前登錄的每個用戶。Who的缺省輸出包括用戶名、終端類型、登錄日期及遠程主機 w 命令查詢utmp文件并顯示當前系統中每個用戶和它所運行的進程信息 users 用單獨的一行打印出當前登錄的用戶，每個顯示的用戶名對應一個登錄會話。如果一個用戶有不止一個登錄會話，那他的用戶名把顯示相同的次數 last 命令往回搜索wtmp來顯示自從文件第一次創建以來登錄過的用戶 finger 命令用來查找并顯示用戶信息，系統管理員通過使用該命令可以知道某個時候到底有多少用戶在使用這臺Linux主機。
5. 幾個語句定位有多少IP在爆破主機的root帳號 grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more 登錄成功的IP有哪些 grep "Accepted " /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more tail -400f demo.log #監控最后400行日志文件的變化 等價與 tail -n 400 -f （-f參數是實時） less demo.log #查看日志文件，支持上下滾屏，查找功能 uniq -c demo.log #標記該行重復的數量，不重復值為1 grep -c 'ERROR' demo.log #輸出文件demo.log中查找所有包行ERROR的行的數量

3.1.6 相關處置

kill -9

chattr –i

rm

setfacl

ssh

chmod

3.2 Windows系列分析排查

3.2.1 文件分析

1. 開機啟動有無異常文件
2. 各個盤下的temp(tmp)相關目錄下查看有無異常文件
3. 瀏覽器瀏覽痕跡、瀏覽器下載文件、瀏覽器cookie信息
4. 查看文件時間，創建時間、修改時間、訪問時間。對應linux的ctime mtime atime，通過對文件右鍵屬性即可看到詳細的時間（也可以通過dir /tc 1.aspx 來查看創建時間），黑客通過菜刀類工具改變的是修改時間。所以如果修改時間在創建時間之前明顯是可疑文件。
5. 查看用戶recent相關文件，通過分析最近打開分析可疑文件a) C:Documents and SettingsAdministratorRecentb) C:Documents and SettingsDefault UserRecentc) 開始,運行 %UserProfile%Recent
6. 根據文件夾內文件列表時間進行排序，查找可疑文件。當然也可以搜索指定日期范圍的文件及文件件

Server 2008 R2系列

 

Win10 系列

 

1. 關鍵字匹配，通過確定后的入侵時間，以及webshell或js文件的關鍵字（比如博彩類），可以在IIS 日志中進行過濾匹配，比如經常使用:
2. 知道是上傳目錄，在web log 中查看指定時間范圍包括上傳文件夾的訪問請求 findstr /s /m /I “UploadFiles” *.log 某次博彩事件中的六合彩信息是six.js findstr /s /m /I “six.js” *.aspx 根據shell名關鍵字去搜索D盤spy相關的文件有哪些 for /r d: %i in (*spy*.aspx) do @echo %i

3.2.2 進程命令

1. netstat -ano 查看目前的網絡連接，定位可疑的ESTABLISHED
2. 根據netstat 定位出的pid，再通過tasklist命令進行進程定位

 

1. 通過tasklist命令查看可疑程序

3.2.3 系統信息

1. 使用set命令查看變量的設置
2. Windows 的計劃任務；
3. Windows 的帳號信息，如隱藏帳號等
4. 配套的注冊表信息檢索查看，SAM文件以及遠控軟件類
5. 查看systeminfo 信息，系統版本以及補丁信息例如系統的遠程命令執行漏洞MS08-067、MS09-001、MS17-010（永恒之藍）…若進行漏洞比對，建議使用Windows-Exploit-Suggesterhttps://github.com/GDSSecurity/Windows-Exploit-Suggester/

3.2.4 后門排查

PC Hunter是一個Windows系統信息查看軟件

http://www.xuetr.com/

功能列表如下：

1.進程、線程、進程模塊、進程窗口、進程內存信息查看，殺進程、殺線程、卸載模塊等功能
2.內核驅動模塊查看，支持內核驅動模塊的內存拷貝
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看，并能檢測和恢復ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看，并支持對這些Notify Routine的刪除
5.端口信息查看，目前不支持2000系統
6.查看消息鉤子
7.內核模塊的iat、eat、inline hook、patches檢測和恢復
8.磁盤、卷、鍵盤、網絡層等過濾驅動檢測，并支持刪除
9.注冊表編輯
10.進程iat、eat、inline hook、patches檢測和恢復
11.文件系統查看，支持基本的文件操作
12.查看（編輯）IE插件、SPI、啟動項、服務、Host文件、映像劫持、文件關聯、系統防火墻規則、IME
13.ObjectType Hook檢測和恢復
14.DPC定時器檢測和刪除
15.MBR Rootkit檢測和修復
16.內核對象劫持檢測
17.WorkerThread枚舉
18.Ndis中一些回調信息枚舉
19.硬件調試寄存器、調試相關API檢測
20.枚舉SFilter/Fltmgr的回調

PS：最簡單的使用方法，根據顏色去辨識——可疑進程，隱藏服務、被掛鉤函數：紅色，然后根據程序右鍵功能去定位具體的程序和移除功能。根據可疑的進程名等進行互聯網信息檢索然后統一清除并關聯注冊表。

 

Webshell 排查

1. 可以使用hm

 

1. 也可以使用盾類（D盾、暗組盾），如果可以把web目錄導出，可以在自己虛擬機進行分析

3.2.5 日志分析

1. 打開事件管理器（開始—管理工具—事件查看/開始運行eventvwr）
2. 主要分析安全日志，可以借助自帶的篩選功能

 

 

 

1. 可以把日志導出為文本格式，然后使用notepad++ 打開，使用正則模式去匹配遠程登錄過的IP地址，在界定事件日期范圍的基礎，可以提高效率正則是：
2. ((?:(?:25[0-5]|2[0-4]d|((1d{2})|([1-9]?d))).){3}(?:25[0-5]|2[0-4]d|((1d{2})|([1-9]?d))))

 

1. 強大的日志分析工具Log Parser

 

#分析IIS日志
LogParser.exe "select top 10 time, c-ip,cs-uri-stem, sc-status, time-taken from C:Userssm0nkDesktopiis.log" -o:datagrid

 

有了這些我們就可以對windows日志進行分析了 比如我們分析域控日志的時候，想要查詢賬戶登陸過程中，用戶正確，密碼錯誤的情況，我們需要統計出源IP，時間，用戶名時，我們可以這么寫（當然也可以結合一些統計函數，分組統計等等）：
LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT_TOKEN(Strings,2,'|') AS SERVICE_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM 'e:logparser\xx.evtx' WHERE EventID=675"

 

事件ID是很好的索引

Windows server 2008系列參考event ID：
4624 - 帳戶已成功登錄
4625 - 帳戶登錄失敗
4648 - 試圖使用明確的憑證登錄（例如遠程桌面）

3.2.6 相關處置

1. 通過網絡連接鎖定的可疑進程，進行定位惡意程序后刪除(taskkill)
2. 木馬查殺，可配合pchunter 進行進一步專業分析，使用工具功能進行強制停止以及刪除
3. 最后清理后，統一查看網絡連接、進程、內核鉤置等是否正常。

3.3 應用類

Apache、Tomcat、Nginx、IIS

無論任何web服務器其實日志需要關注的東西是一致的，即access_log和error_log。一般在確定ip地址后，通過:

find . access_log |grep xargs ip攻擊地址

find . access_log| grep xargs 木馬文件名

頁面訪問排名前十的IP
cat access.log | cut -f1 -d " " | sort | uniq -c | sort -k 1 -r | head -10
頁面訪問排名前十的URL
cat access.log | cut -f4 -d " " | sort | uniq -c | sort -k 1 -r | head -10
查看最耗時的頁面
cat access.log | sort -k 2 -n -r | head 10

在對WEB日志進行安全分析時，可以按照下面兩種思路展開，逐步深入，還原整個攻擊過程。

1. 首先確定受到攻擊、入侵的時間范圍，以此為線索，查找這個時間范圍內可疑的日志，進一步排查，最終確定攻擊者，還原攻擊過程。

 

1. 一般攻擊者在入侵網站后，通常會上傳一個后門文件，以方便自己以后訪問。我們也可以以該文件為線索來展開分析。

 

4 應急總結

1. 核心思路是“順藤摸瓜”
2. 碎片信息的關聯分析
3. 時間范圍的界定以及關鍵操作時間點串聯
4. Web入侵類，shell定位很重要
5. 假設與求證
6. 攻擊畫像與路線確認

5 滲透反輔

1. 密碼讀取a) Windows: Mimikatzb) Linux: mimipenguin
2. 帳號信息a) 操作系統帳號b) 數據庫帳號c) 應用帳號信息
3. 敏感信息a) 配置信息b) 數據庫信息c) 服務端口信息d) 指紋信息
4. 滾雪球式線性拓展a) 密碼口令類拓展（遠控）b) 典型漏洞批量利用
5. 常見的入侵方式Getshell方法a) WEB入侵? i. 典型漏洞：注入Getshell , 上傳Getshell，命令執行Getshell，文件包含Getshell，代碼執行Getshell，編輯器getshell，后臺管理Getshell，數據庫操作Getshell? ii. 容器相關：Tomcat、Axis2、WebLogic等中間件弱口令上傳war包等，Websphere、weblogic、jboss反序列化，Struts2代碼執行漏洞，Spring命令執行漏洞b) 系統入侵? i. SSH 破解后登錄操作? ii. RDP 破解后登錄操作? iii. MSSQL破解后遠控操作? iv. SMB遠程命令執行（MS08-067、MS17-010、CVE-2017-7494）c) 典型應用? i. Mail暴力破解后信息挖掘及漏洞利用? ii. VPN暴力破解后繞過邊界? iii. Redis 未授權訪問或弱口令可導ssh公鑰或命令執行? iv. Rsync 未授權訪問類? v. Mongodb未授權訪問類? vi. Elasticsearch命令執行漏洞? vii. Memcache未授權訪問漏洞? viii. 服務相關口令（MySQL ldap zebra squid vnc smb）

6 資源參考

https://www.waitalone.cn/linux-find-webshell.html

http://vinc.top/category/yjxy/

http://www.shellpub.com/

http://linux.vbird.org/linux_security/0420rkhunter.php

https://cisofy.com/download/lynis/

https://sobug.com/article/detail/27?from=message&isAppinstalled=1

http://www.freebuf.com/articles/web/23358.html

https://www.microsoft.com/en-us/download/details.aspx?id=24659

http://www.cnblogs.com/downmoon/archive/2009/09/02/1558409.html

http://wooyun.jozxing.cc/static/drops/tips-7462.html

http://bobao.360.cn/learning/detail/3830.html

https://yq.aliyun.com/ziliao/65679

http://secsky.sinaapp.com/188.html

http://blog.sina.com.cn/s/blog_d7058b150102wu07.html

http://www.sleuthkit.org/autopsy/

7 FAQ

1. 應急需求有哪些分類：a) 被誰入侵了？ 關聯 攻擊IP 攻擊者信息b) 怎么入侵的？ 關聯 入侵時間軸、漏洞信息c) 為什么被入侵？ 關聯 行業特性、數據信息、漏洞信息d) 數據是否被竊?。?關聯 日志審計e) 怎么辦？ 關聯 隔離、排查分析、刪馬（解密）、加固、新運營
2. 關于windows的日志工具（log parser）有無圖形界面版？Log Parser Lizard 是一款用Vc++.net寫的logParser增強工具。主要有以下特點：a) 封裝了logParser命令，帶圖形界面，大大降低了LogParser的使用難度。b) 集成了幾個開源工具，如log4net等。可以對IIS logsEventLogsactive directorylog4netFile SystemsT-SQL進行方便的查詢。c) 集成了Infragistics.UltraChart.Core.v4.3、Infragistics.Excel.v4.3.dll等，使查詢結果可以方便的以圖表或EXCEL格式展示。d) 集成了常見的查詢命令，范圍包含六大模塊:IISe) 可以將查詢過的命令保存下來，方便再次使用。

 

PS:軟件是比較老的，對新系統兼容性不好，還是建議微軟原生態log parser

1. 在linux日志中，有無黑客入侵后的操作命令的統計**a) 可以根據history信息進行溯源分析，但一般可能會被清除b) 還有方法是需要結合accton 和 lastcomm

 

1. 3.2.3 提到了Windows-Exploit-Suggester，有無linux版？Linux_Exploit_Suggester https://github.com/PenturaLabs/Linux_Exploit_Suggester

 

1. 有無linux自動化信息收集的腳本工具？LinEnum https://github.com/rebootuser/LinEnum
2.  
3. 有無綜合的取證分析工具Autopsy 是sleuthkit提供的平臺工具，Windows 和 Linux磁盤映像靜態分析、恢復被刪文件、時間線分析，網絡瀏覽歷史，關鍵字搜索和郵件分析等功能

? http://www.sleuthkit.org/autopsy/

1. 關于業務邏輯的排查方法說明

新型業務安全中安全事件，例如撞庫、薅羊毛、支付、邏輯校驗等敏感環節，未在本文體現，所以后續有必要針對業務側的應急排查方法歸納。