应急响应基础知识总结

# 实战下的应急响应

# web 攻击

1. 相关表现：页面被篡改，恶意推广，黑词黑页，webshell。

2. 相关危害：导致搜索引擎告警、微信等 app 分享告警、首页敏感内容、脱库、内网沦陷等。

3. 排查要点：能否多个环境下复现异常；确认相关资产是否存在；而已文件是否存在于服务器上。

4. 操作要点：备份文件，webshell 后门查杀，web 日志分析，web 中间件缓存处理，web 中间件配置检查，重启 web 中间件，服务器后门检查。

5. 防护措施：加固相关 web 应用，修改相关系统的所有用户密码。

# 链路劫持

1. 相关表现：区域性服务不可用或返回错误内容。

2. 相关危害：导致搜索引擎告警、微信等 app 分享告警、首页敏感内容等。

3. 排查要点：能否在多个环境下复现异常，确定相关资产是否存在，恶意文件是否确实存在于服务器上。

4. 操作要点：跨地区、运营商进行测试，确定受影响范围，在能复现的环境中判断是 DNS 劫持还是 HTTP 劫持。

5. 防护措施：重要业务部署 https。

# 代理隧道

1. 相关表现：持续性或间接性外连行为，通常为 tcp 协议，对内网多个主机有访问行为。

2. 相关危害：作为跳板机攻击其它内网资产。

3. 排查要点：确定存在代理隧道的跳板机，通常为某时间段内集中访问内网多种资源的机器，判断隧道类型。

4. 防护措施：完善内网 acl，服务器按业务需要通过白名单策略访问外网。

# 替换系统命令

1. 相关表现：无明显表现。

2. 相关危害：将后门、木马持久化在系统中，窃取账号、密码等重要凭证。

3. 排查要点：使用包管理自带的包校验功能验证文件完整性，分析恶意文件行为，确定影响面。

4. 操作要点：使用静态链接的 busybox，重新安装被替换的包。

5. 命令：rpm -Va； dpkg --verify

# ld.so.preload 动态链接库劫持

1. 相关表现：无明显表现

2. 相关危害：将后门、木马持久化在系统中；窃取账号、密码等重要凭证。

3. 排查要点：检查 /etc/ld,so.preload，ld.so (如 /lib/x86_64-linux-gnu/ld-2,27.so)

4. 操作要点：使用静态链接的 busybox；重启被注入恶意模块的进程，必要时直接重启系统。

# 内核态 rootkit

1. 相关表现：无明显表现。

2. 相关危害：将后门、木马持久化在系统中；隐藏文件、进程等信息。

3. 排查要点：确定是否存在无法使用常规命令查看的文件或进程。

4. 操作要点：使用 tyton 内核态 rootkit 检测工具检测，检查 /etc/modules 是否有未知的内核模块。

# 计划任务

1. 相关表现：特定时间触发木马、后门、网络链接、DNS 请求、篡改页面等等行为。

2. 相关危害：将后门、木马持久化在系统中，周期性篡改页面、拉取数据等。

3. 排查要点：判断是否存在周期性出现的异常现象，检查 /var/spool/cron/crontabs/，/etc/cron.* 等常用计划任务配置文件。

4. 操作要点：停止计划任务后再操作，注意辨别利用 \r 回车符的障眼法小技巧。

# 远控木马

1. 相关表现：有持续性或间断性的对外网络链接或 DNS 请求等通信行为。

2. 相关危害：窃取系统资料，作为跳板进一步攻击内网其它机器。

3. 排查要点：关注 tcp、udp、icmp 等一切网络行为，检查注册表、服务、开机目录、计划任务等一些列常见的持久化点。

4. 操作要点：检查网络连接，以及 IDS 设备上的异常远控告警。