關注日誌與文件
不僅要重視操作系統的日誌,還需關注操作系統上的文件。應當全面排查,避免大意。許多攻擊行為可能在日誌中無法體現,例如攻擊者上傳的掃描工具(如 fscan),這些工具可能會殘留在操作系統中。
分析 Linux 的歷史命令
在 Linux 系統中,使用history命令可以查看用戶的命令執行歷史。如果攻擊者執行了命令,這對識別攻擊者的行為模式至關重要。作為防守方,也需要定期審查~/.bash_history文件,確保不留有敏感信息(如密碼、密鑰等),並考慮對歷史記錄進行定期清理。此外,可以使用auditd工具監控命令執行情況,確保每個命令的執行都可追溯。
日誌分析
除了操作系統日誌,Windows 用戶還應關注應用系統的日誌,例如(如 Apache、IIS、SQL Server)等。這些日誌能提供更多關於系統行為的信息,有助於識別潛在的安全威脅。
木馬病毒掃描
在 Windows 系統上,可以上傳並使用殺毒軟件對潛在病毒文件進行掃描。同時,使用 D 盾等工具掃描 Webshell,以檢測並清除惡意代碼。
思路有序
應急響應過程中,思路應保持清晰,循序漸進地排查問題。深入分析攻擊者的攻擊思路,從而逐步追蹤其活動軌跡,找到攻擊源。
錄屏
如有必要,可在 Windows 系統上上傳錄屏軟件,進行全程操作的錄屏,以便進行取證。這能為事後分析提供重要證據。
工具
在應急響應中,工具的使用很重要,如進程分析、everything 等工具,如果遇到通報給了惡意 ip,那麼可以針對惡意 ip 查找對應的應用程序,可能會有一些新的發現。有了 ip 可以將 ip 提交到威脅情報平台看看這個 ip 是否有威脅標籤,同時對 ip 進行 whois 查詢、ip 反查域名,看是否有 ip 註冊、域名信息。
時間線
事件發生的時間對於釐清事件脈絡至關重要。通過分析時間線,可以更好地還原事件發生的場景,幫助制定有效的應急響應策略。建議使用時間線工具來可視化事件的發生順序,並與日誌記錄相結合,以便快速識別關鍵時間節點和相關事件。