应急响应的形式分为远程应急响应服务和本地应急响应服务，一般要求初级会看日志、写流程报告，中级主要就是渗透，高级考察带队伍作战的能力。

应急分类

事件分类

• Web入侵：挂马、篡改、Webshell撞库

• 系统入侵：系统异常、RDP爆破、SSH爆破、主机漏洞

• 病毒木马：远控、后门、勒索软件

  （勒索软件比较复杂，解密是基本不可能，只能通过暗网黑市购买密码。）

• 信息泄漏：刷库、数据库登录（弱口令）

• 网络流量：频繁发包、批量请求、DDOS攻击

  （扫描内网主机是国内攻击的手法，如果是横向移动必须扫描。条件是拿到了服务器权限，先扫同网段存活主机，扫描445端口然后撞库，如果撞库成功那主机权限就拿到了。）

应急响应一般流程

初期看下态势感知、IDS等，如果有报警立马通知相关人员去处理，然后写报告。

举例：恢复加固

医院如果遭受攻击，全医院待机就非常可怕，现在都是智能办公，很少进行纸质留存，如果信息系统故障整个业务都瘫痪了。

如何做应急响应呢

• 确定攻击时间

• 查找攻击线索

• 梳理攻击流程

• 实施解决方案

定位攻击者——（溯源、获取目标木马，IP 手机号等等，悄悄地说技术再强也不如圈子人脉广，比如获取目标ID（圈子里的代号）可以在圈子问这样就很快速。   ）

入侵信息核实

• 明确入侵网址/主机详情

• 跟踪事件发现人

• 了解事件发生特性

• 核实网络结构或系统框架

• 确定事件发生时间（查看日志、文件创建信息等）

• 知悉事件发生后处理办法

• 记录相关人员联系方法

举个栗子

 检查windows安全日志，发现12点42分在登陆日志上发现存在暴力破解行为。于2点10分成功登陆到administrator用户。

排查思路

• 文件分析——文件日期、新增文件、可疑/异常文件、最近使用文件、浏览器下载文件

• Webshell 排查与分析，核心应用关联目录文件分析

• 进程分析——当前活动进程 & 远程连接，启动进程&计划任务，服务

•  服务系统信息——环境变量/账号信息/History/系统配置文件

• 日志分析——操作系统日志

数据收集

• 查看账户信息    （net user 、cat /etc/passwd     ）     

• 检查补丁情况      （Systeminfo 、uname -a     ）  

• 查看系统日志         （运行-eventvwr   ）    

• 查看注册表/服务（Win）  （运行- regedit  /  services.msc     ）  

• 查看用户连接状况         （netstat 、 netstat ）  

• 查看账户登录状况         （ quser 、who / last ）  

• 搜索近期修改文件        （  用眼睛/工具（lchangedfiles） find / -ctime -1 -print ）  

• 查看网站日志          （   应用服务log目录        应用服务log目录  ）  

• 检查数据库修改情况       （数据库日志  ）  

• 查看进程      （任务管理器     ps -aux  ）  

• 检查防护设备日志     （没错，就是查看它的日志 ）  

信息收集 留意

1.在查询用户的过程中要留意隐藏账户的信息HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

2.判断是否为恶意进程或者服务部分可通过描述或者发布者进行判断

Grep /find命令

查找一句话木马（<?php eval($_post[cmd]);?>

假设网站的目录为/app/website/，我们需要查看该目录下是否包含该形式的一句话木马文件：

方法1：

    $ grep -i –r eval\(\$_post /app/website/*

        其中-i表示不区分大小写，-r表示搜索指定目录及其子目录

   方法2:

    $find /app/website/ -type f|xargs grep eval\(\$_post 

        xargs 将find搜索出的文件名称变成 grep后面需要的参数

本次分享的内容为安全牛课堂的应急响应公开课，课程配有作业:木马清理过程（含思路），目前为限免课程，0元即可学习哦。https://www.aqniukt.com/goods/show/2200?targetId=15680&preview=0