关注日志与文件
不仅要重视操作系统的日志,还需关注操作系统上的文件。应当全面排查,避免大意。许多攻击行为可能在日志中无法体现,例如攻击者上传的扫描工具(如 fscan),这些工具可能会残留在操作系统中。
分析 Linux 的历史命令
在 Linux 系统中,使用history
命令可以查看用户的命令执行历史。如果攻击者执行了命令,这对识别攻击者的行为模式至关重要。作为防守方,也需要定期审查~/.bash_history
文件,确保不留有敏感信息(如密码、密钥等),并考虑对历史记录进行定期清理。此外,可以使用auditd
工具监控命令执行情况,确保每个命令的执行都可追溯。
日志分析
除了操作系统日志,Windows 用户还应关注应用系统的日志,例如(如 Apache、IIS、SQL Server)等。这些日志能提供更多关于系统行为的信息,有助于识别潜在的安全威胁。
木马病毒扫描
在 Windows 系统上,可以上传并使用杀毒软件对潜在病毒文件进行扫描。同时,使用 D 盾等工具扫描 Webshell,以检测并清除恶意代码。
思路有序
应急响应过程中,思路应保持清晰,循序渐进地排查问题。深入分析攻击者的攻击思路,从而逐步追踪其活动轨迹,找到攻击源。
录屏
如有必要,可在 Windows 系统上上传录屏软件,进行全程操作的录屏,以便进行取证。这能为事后分析提供重要证据。
工具
在应急响应中,工具的使用很重要,如进程分析、everything 等工具,如果遇到通报给了恶意 ip,那么可以针对恶意 ip 查找对应的应用程序,可能会有一些新的发现。有了 ip 可以将 ip 提交到威胁情报平台看看这个 ip 是否有威胁标签,同时对 ip 进行 whois 查询、ip 反查域名,看是否有 ip 注册、域名信息。
时间线
事件发生的时间对于厘清事件脉络至关重要。通过分析时间线,可以更好地还原事件发生的场景,帮助制定有效的应急响应策略。建议使用时间线工具来可视化事件的发生顺序,并与日志记录相结合,以便快速识别关键时间节点和相关事件。