网络安全--应急响应

应急响应”对应的英文是“Incident Response”或“Emergency Response”等，通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措.

网络安全应急响应：针对已经发生的或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全.

目录：

应急响应阶段：

操作系统（windows 和 linux）应急响应：

常见日志类别及存储：

应急响应 Windows和Linux操作系统步骤：

系统日志分析 ：

安装 LogFusion 工具.（Windows系统日志）

Linux系统日志.

查找 后门木马：      

查看进程（PCHunter）

Windows查杀木马：

Linux主机排查：

Linux查杀木马.（Clamav）

处理 勒索病毒.

一般能不能破解勒索病毒的解密，就取决于勒索病毒的强度！（免费版.）

如果破解不了，可能还是花钱找专业的人来破解！（付费版.）

---

应急响应的概括：

应急响应”对应的英文是“Incident Response”或“Emergency Response”等，通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措.

网络安全应急响应：针对已经发生的或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全.

---

应急响应阶段：

保护阶段：断网，备份重要文件（防止攻击者，这些期间删除文件重要文件.）

分析阶段：分析攻击行为，找出相应的漏洞.

复现阶段：复现攻击者攻击的过程，有利于了解当前环境的安全问题和安全检测.

修复阶段：对相应的漏洞提出修复.

建议阶段：对漏洞和安全问题提出合理解决方案.   

目的：分析出攻击时间，攻击操作，攻击后果，安全修复等并给出合理解决方案.

---

操作系统（windows 和 linux）应急响应：

（1）常见危害：暴力破解，漏洞利用，流量攻击，木马控制(Webshell，PC木马等)，病毒感染(挖矿，蠕 虫，勒索等)

（2）常见分析：计算机账户，端口，进程，网络，启动，服务，任务，文件等安全问题.

---

常见日志类别及存储：

（1）Windows系统：（2）Linux系统：

---

工具下载  链接：https://pan.baidu.com/s/1N67KmETtTmMOSrG-l0-iDA 
                    提取码：tian 

---

应急响应 Windows和Linux操作系统步骤：

系统日志分析 ：

安装 LogFusion 工具.（Windows系统日志）

打开日志：点击 Open Other  -->>  Open Event Log  -->> 应用程序 || 系统

     

（1）应用程序事件日志.

    

（2）系统事件日志.

     

Linux系统日志.

/var/log/                    //日志的位置.

（1）统计了下日志，确认服务器遭受多少次暴力破解.

grep -o "Failed password" /var/log/secure|uniq -c

（2）输出登录爆破的第一行和最后一行，确认爆破时间范围.

grep "Failed password" /var/log/secure|head -1

grep "Failed password" /var/log/secure|tail -1

（3）进一步定位有哪些 IP 在爆破.

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr

（4）爆破用户名字典都有哪些.

grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

（5）登录成功的日期、用户名、IP.

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

         

查找 后门木马：      

查看进程（PCHunter）

        

Windows查杀木马：

大家可以下载一些安全软件进行扫描和查杀.

火绒安全软件：火绒安全

     

电脑管家：一键杀毒_盗号保护_垃圾清理_软件管理-腾讯电脑管家官网

            

Linux主机排查：

cd GScan-master                //下载工具，然后切换工具目录.

python GScan.py --sug --pro                    //检测木马

    

Linux查杀木马.（Clamav）

apt update                 

    

apt install clamav-daemon -y         //下载clamav杀毒.

    

freshclam            //更新病毒库

    

clamscan -r -i /root -l /root/clamav.log        //-r扫描目录，-i只显示被感染的文件，-l是保存的日志文件.

        

处理 勒索病毒.

勒索病毒分析：深信服EDR

       

勒索软件在线下载的解密工具：免费勒索软件解密工具 | 解锁您的文件 | Avast

       

收集的勒索软件解密工具：

      

一般能不能破解勒索病毒的解密，就取决于勒索病毒的强度！（免费版.）

如果破解不了，可能还是花钱找专业的人来破解！（付费版.）

    

  

    

学习链接：2021小迪渗透测试/网络安全工程师全套（从入门到就业）_哔哩哔哩_bilibili