新软件:
- D盾-站点扫描木马工具
- winscp-ssh、ftp登陆工具
- 冰蝎-木马控制
- WinSCP-很好用的远程连接文件管理工具
- Struts漏洞检测工具
(启动还怪麻烦:java -jar Struts2_19.32.jar)
上午-应急响应实战
应急响应是组织机构为应对网络攻击、数据泄露等安全事件,通过技术和管理手段快速响应并恢复业务的过程,包含事前预防、事中处置和事后改进三个阶段。
事前准备阶段:
制定应急预案,组建包含领导小组、技术保障小组的应急团队,明确职责分工;部署流量分析、漏洞检测等工具,定期开展攻防演练和人员培训。
事件响应阶段:
检测与确认:通过监控系统识别异常行为(如非法访问、病毒传播),验证是否为真实攻击;遏制与消除:隔离受感染系统,清除恶意代码或阻断攻击路径,防止影响扩大;取证与分析:收集日志、流量数据等证据,溯源攻击者身份及攻击手段。
事后恢复与改进阶段:
修复漏洞并验证系统安全性,逐步恢复业务运行;总结事件原因,优化防御策略及应急预案,提升协同处置能力。
操作
web入侵实战分析
1、SSH访问目标服务器,打包站点源码到本地(使用WinSCP)
2、使用D盾扫描源代码,发现木马文件
3、尝试使用菜刀/蚁剑连接一句话木马(验证攻击效果)
4、尝试访问并登录index_bak.jsp——大马(全功能木马)
5、查看Web日志,寻找木马的访问记录
6、获取攻击者使用的IP地址
7、排查攻击者行为,确定漏洞类型,目标地址:/showcase.action(`S2-016漏洞*)
8、通过漏洞验证确认攻击者是否成功利用漏洞
9、对排查过程和结果进行总结。
phpstudy某版本存在后门
在Windowssever的情况下
1、查看被篡改的首页,在网站目录中寻找webshell
黑客利用 phpstudy 后门通过/info.php 页面,在网站根目录写入 了shell.php 文件
2、确定webshell的类型,使用对应工具进行连接(/html/shell.php 冰蝎马)
3、查看Web日志,寻找木马的访问记录
4、确认攻击者IP
5、继续排查日志,确认漏洞来源(info.php)
6、使用burpsuite进行漏洞验证
7、继续排查日志,确认站点首页何时被篡改
8、对排查过程和结果进行总结
确定每一步的时间很关键
数据泄露实战分析
1、查看mysql日志,确认是否存在脱库的SQL注入语句(大量访问失败-暴库)
2、查看Web (apache access_log)日志,确认攻击者使用的攻击工具和IP地址
3、选择黑客脱库时执行的最后几条注入语句,在浏览器中进行复现,确认数据泄露情况
4、继续排查日志,确认攻击者完成脱库的时间
5、继续排查日志,确认攻击者登录后台管理界面的时间
6、继续排查日志,确认攻击者后续有无其他攻击行为。
7、下载站点源码到本地进行扫描(D盾),确认是否被植入webshell
8、对排查过程和结果进行总结
下午-主机入侵溯源分析及挖矿病毒和勒索病毒排查踪迹查杀和防范
主机入侵实战分析
1、查看linux账户文件,寻找可疑账户(etc/passwd)
查看端口开放情况
netstat -ltnpa
2、查看ssh日志(/var/log/auth.log),寻找SSH口令爆破痕迹
2.5、查看SQL日志结合apache访问日志的时间进行排查
发现明显具备,并且user-agent字段为默认的sqlmap头,明显是通过sqlmap工具对
/index.php?r=12&id=12,连接上的两个参数做sql注入攻击的测试
得到攻击者的IP
3、找到攻击者完成口令爆破,成功登录系统的日志信息
4、找到攻击者植入的ssh免密登录公钥
5、对排查过程和结果进行总结
windows server 2008
1、查看可疑文件创建的时间节点
2、在windows事件查看其中查看对应时间节点前后的远程登陆日志
3、确认攻击者IP
4、继续排查日志,确认攻击行为(口令爆破)和攻击开始时间
5、确认攻击者首次登录成功的时间(即爆破成功的时间)
6、D盾排查,排查系统用户、TCP连接(netstat命令)、进程信息、启动项、计划任务等是否存在异常(就是查看各种日志)
7、对排查过程和结果进行总结
挖矿病毒实战分析
1、查看进程信息,发现tcp://xcn1.yiluzhuanqian.com:80外链信息(因病毒外链站点已被捣毁,病毒无法连接到攻击者服务器,略去本步)执行netstat -ltnpa 命令,发现存在异常外联
2、通过微步情报查看域名地址,确认威胁的详细信息,明确事件为挖矿木马
3、执行history命令,找到挖矿木马的安装脚本和木马安装路径信息
4、查看木马安装脚本(mservice.sh)
5、继续溯源攻击者的入侵路径,查看ssh登录日志,找到口令爆破相关日志内容
6、确认攻击者IP地址
7、确认爆破成功的时间节点
通过last命令查看相应文件last -f /var/log/btmp.1
8、对排查过程和结果进行总结
勒索病毒实战分析
由于该勒索病毒具有传播性和破坏性,要求拿到病毒样本后,在虚拟机中断网运行
压缩包密码:
Dbapp@2020
样本解压密码为:buyaozaibendizhujiyunxinggaichengxu
WannaCry病毒
在本地搭建虚拟机,此处用 win2003server 演示
登录密码:123123
将样本解压到本地,样本名称为wcry.exe文件
断网处置,将虚拟机的网卡连接关闭,保证封闭断网环境
1、运行wcry.exe,观察运行效果。 2、利用专杀工具解密文件。 3、手动删除残留文件。
