一、操作系统(windows,linux):
- 1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等)。
暴力破解:针对系统有包括rdp、ssh、telnet等,针对服务有包括mysql、ftp等,一般可以通过超级弱口令工具、hydra进行爆破
漏洞利用:通过系统、服务的漏洞进行攻击,如永恒之蓝等
流量攻击:主要是对目标机器进行dos攻击,从而导致服务器瘫痪
木马控制:主要分为webshell和PC木马,webshell是存在于 站应用中的,而PC木马是进入系统进行植入的。目的是对系统进行持久控制。
病毒感染:主要分挖矿病毒、蠕虫病毒、勒索病毒等,对目标文件或目录进行加密,用户需要支付酬金给黑客
- 2.常见分析:计算机账户,端口,进程, 络,启动,服务,任务,文件等安全问题
账户:账户异常、账户增加,看攻击者是否留有后门账户
端口:异常端口开放,看是否与外部地址的某个端口建立了连接
进程:异常进程加载,看是否存在异常进程执行(排除系统正常进程)
络: 络连接异常,看是否对局域 内其他IP地址进行请求(横向)或自身 络异常
启动:异常程序开机自启动,看是否存在开机自启动的程序,排查是否为恶意程序
服务:异常服务添加、启动,看机器上是否存在异常服务(排除系统正常服务)
任务:异常定时任务执行,看机器上是否存在定时任务
文件:异常文件,看机器上是否存在异常文件,如后门、病毒、木马等
- 3.病毒分析
- 4.病毒查杀
- 5.病毒动态
- 6.在线病毒扫描 站
- 7.其他资源:
应急响应大合集
二、案例
1)可以直接计算机管理看自带的日志分析,着重记住事件ID:
2)windows自带的日志分析不太好用,一般都利用工具分析,如:loginfusion
超级弱口令工具选rdp协议,爆破账 密码:
Linux-grep 筛选:
1、统计了下日志,确认服务器遭受多少次暴力破解
2、输出登录爆破的第一行和最后一行,确认爆破时间范围:
3、进一步定位有哪些 IP 在爆破/p>
4、爆破用户名字典都有哪些/p>
5、登录成功的日期、用户名、IP:
(三)危害响应-病毒感染(勒索 WannaCry)-Windows 详细说明中毒表现及恢复指南
https://www.nomoreransom.org/crypto-sheriff.phpang=zh
https://lesuobingdu.360.cn/
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!