应急响应工程师
- aa
- aa
- aa
负责针对信息、信息系统、信息基础设施和网络进行分析,制定安全事件应急响应预案,对突发安全事件进行分析、处理,完成快速应急响应。
a)综合能力
——掌握应急响应技术理念演变、技术体系,熟悉并跟踪应急响应技术最新进展;
——能够正确分析具体场景的安全态势及需求,理解现场业务逻辑,制定应急响应预案,并完成快速应急响应;
——具备良好的安全事件应急响应技术文档编制能力;
——具备良好的沟通表达及团队合作能力;
b)专业知识
——掌握计算机、网络、密码学、访问控制、认证技术、安全威胁等网络安全基础知识;
——掌握各种软硬件及安全产品的系统日志表示结构,正确进行日志分析;
——熟练应用C、Java、Python以及脚本语言等,编写应急响应处理程序;
——掌握安全事件分类、应急响应级别、启动、预案、处理等规范;
c)技术技能
——能够依据具体场景的安全态势及需求,制定安全事件应急响应预案;
——能够运用安全工具、编写处理程序,对安全事件实施快速处理;
——能够独立编制安全事件应急响应技术报告;
d)工程实践
——具备独立针对安全事件,编制响应预案,并当事件发生时及时应急响应的能力;
——具有应对安全事件,实施应急响应,取得良好效果的工程经验。
(高级)级别B 具备一般的监控+处置+研判+溯源+应急能力
- win应急处置方案
-
账号排查
1、查看服务器是否有弱口令,远程管理端口是否对公网开放。
方法1:据实际情况咨询相关服务器管理员。
方法2:通过分析平台查询该主机相关告警,确认是否存在弱口令,是否有互联网IP直接访问远程管理端口。
2、查看服务器是否存在可疑账号、新增账号、隐藏账号、克隆账号。
方法1:打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号。
方法2:“D盾_web查杀”—工具—克隆账号检测,查看是否有新增/可疑的账号。 -
端口排查
检查端口连接情况,是否有远程连接、可疑连接。
检查方法:
a、使用D盾_web查杀—工具—端口查看。
b、netstat -ano 查看目前的网络连接,定位可疑的网络连接。 -
进程排查
检查方法:
a、开始–运行–输入msinfo32,依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息,比如路径、处理ID、开始时间、文件日期等。
b、打开D盾_web查杀工具,进程查看,关注没有签名信息的进程。
主要观察以下内容:
没有签名验证信息的进程;
没有描述信息的进程;
进程的属主;
进程的路径是否合法;
CPU或内存资源占用长时间过高的进程。
内存资源查看:Win+R—taskmgr,打开任务管理器查看。 -
启动项排查
检查服务器是否有异常的启动项
检查方法:
a、登录服务器,命令行输入“msinfo32”,打开“系统信息-软件环境-启动程序”进行查看。
b、单击开始菜单 >【运行】,输入 msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。
imjpmig.exe是微软Microsoft输入法编辑器程序
tintsetp.exe是输入法软件相关程序
IMEKRMIG.EXE是微软Microsoft Office套装的一部分
imscinst.exe是微软Microsoft翻译工具的一部分
imscmig.exe MicrosoftIME输入法的组件
ctfmon.exe 文字服务程序
ATIPtaxx.exe是ATI显示卡驱动的一部分,在系统托盘有显示
rfwmain.exe 瑞星防火墙
ravtask.exe瑞星杀软相关程序
c、利用安全软件查看启动项、开机时间管理等。
d、组策略,运行gpedit.msc—windows设置,查看是否有开机启动的脚本。 -
计划任务排查
检查方法:
a、单击【开始】>【控制面板】>【任务计划】,查看计划任务属性,看是否有计划任务的异常文件,有的话便可以发现异常文件的路径。
b、打开 cmd,然后输入at或者schtasks,检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接。 -
系统日志排查
分析方法:
打开运行(Win+R),输入“eventvwr.msc”,回车运行,打开“事件查看器”。
系统日志默认位置: %SystemRoot%\System32\Winevt\Logs\System.evtx安全日志默认位置:%SystemRoot%\System32\Winevt\Logs\Security.evtx应用程序默认位置:%SystemRoot%\System32\Winevt\Logs\Application.evtx
事件ID 说明 4624 登录成功 4625 登录失败 4634 注销成功 4647 用户启动的注销 4672 使用超级用户(如管理员)进行登录 4720 创建用户 登录类型 描述 :———————–: :—: 2 交互式登录(Interactive) 3 网络(Network) 4 批处理(Batch) 5 服务(Service) 7 解锁(Unlock) 8 网络明文(NetworkCleartext) 9 新凭证(NewCredentials) 10 远程交互(RemoteInteractive) 11 缓存交互(CachedInteractive) 1、在“开始”菜单上,依次指向“所有程序”、“管理工具”,然后单击“事件查看器”; 2、在事件查看器中,单击“系统”,查看系统日志; 3、在系统日志右侧操作中,点击“筛选当前日志”,输入事件ID进行筛选分析。
-
Web日志排查
1、查看文件大小
一般被攻击网站的access日志文件会比日常的access日志文件大
2、根据入侵时间确认攻击路径及所利用的漏洞
查看入侵时间前后是否存在异常请求/漏洞攻击
3、漏洞复现
若为漏洞类,则进行漏洞复现验证
若未抓取到账号密码,需向网站负责人索要管理员账号密码,进行登录查找入侵点并验证 -
服务自启动排查
检查方法:单击【开始】>【运行】,输入services.msc,注意服务状态和启动类型,检查是否有异常服务。 -
Webshell扫描
a、IIS中间件:
打开D盾_web查杀工具 » 扫描全部站点。
b、其它中间件(apache、tomcat、nginx等)
向客户询问web网站具体路径,例如:D:\apache-tomcat-7.0.55,然后进行自定义扫描。
Webshell扫描工具:
D盾_Web查杀:http://www.d99net.net/index.asp
河马webshell查杀:http://www.shellpub.com -
病毒查杀
检查方法:下载相关安全软件,更新最新病毒库,进行全盘扫描。
- linux应急处置方案
- 账号排查
1、查询特权用户,特权用户(uid 为0)
awk -F: '$3==0{print $1}' /etc/passwd
2、查询可以远程登录的帐号信息
awk '/\$1|\$6/{print $1}' /etc/shadow
3、除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限
more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
4、禁用或删除多余及可疑的帐号
若存在异常/可疑的账号,和客户/相关责任人确认后再做以下操作
操作命令 说明 usermod -L user 禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头 userdel user 删除user用户 userdel -r user 将删除user用户,并且将/home目录下的user目录一并删除
- 历史命令排查
查看历史操作命令,检查是否存在异常命令;
history #查看历史命令history | grep XXX #XXX为要搜索的异常/敏感命令
常见敏感操作命令示例:
命令介绍 命令示例 备注 查看发行版 cat /etc/*-release 查看版本查找exploit提权 查看内核版本 uname -a 查看版本查找exploit提权 编译exp gcc xx.c 确认xx.c是否为expploit 添加用户 useradd 确认添加用户是否为客户添加 下载木马文件等 wget http://www.xxx.com 放入云沙箱检测是否为木马病毒文件 使用netstat 网络连接命令,分析可疑端口、IP、PID等
netstat -antlp|more
查看下pid所对应的进程文件路径
ls -l /proc/$PID/exe或file /proc/$PID/exe($PID 为对应的pid 号)
-
进程排查
使用ps命令,分析进程
ps aux #查看异常进程
ps aux | grep pid #查看路径
top #查看资源占用情况 -
启动项排查
启动项文件:
more /etc/rc.local/etc/rc.d/rc[0~6].dls -l /etc/rc.d/rc3.d/
-
定时任务排查
重点关注以下目录中是否存在恶意脚本
/var/spool/cron/*
/etc/crontab/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/*
/etc/anacrontab
/var/spool/anacron/*
小技巧:more /etc/cron.daily/* 查看目录下所有文件 -
服务排查
1、查询已安装的服务:
RPM包安装的服务chkconfig –list 查看服务自启动状态,可以看到所有的RPM包安装的服务
ps aux | grep crond 查看当前服务系统在3与5级别下的启动项
中文环境chkconfig –list | grep “3:启用|5:启用”
英文环境chkconfig –list | grep “3:on|5:on”
级别3:命令行模式
级别5:GUI(图形桌面 模式) -
系统日志排查
日志默认存放位置:/var/log/查看日志配置情况:more /etc/rsyslog.conf
日志文件 说明 /var/log/cron 记录了系统定时任务相关的日志 /var/log/cups 记录打印信息的日志 /var/log/dmesg 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息 /var/log/mailog 记录邮件信息 /var/log/message 记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件 /var/log/btmp 记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用lastb命令查看,last -f /var/log/btmp /var/log/lastlog 记录系统中所有用户最后一次登录时间的日志,这个文件是二进制文件,不能直接vi,而要使用lastlog命令查看 /var/log/wtmp 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,不能直接vi,而需要使用last命令来查看 /var/log/utmp 记录当前已经登录的用户信息,这个文件会随着用户的登录和注销不断变化,只记录当前登录用户的信息。同样这个文件不能直接vi,而要使用w,who,users等命令来查询 /var/log/secure 记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中 日志分析技巧: 1、定位有多少IP在爆破主机的root帐号:
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
定位有哪些IP在爆破:
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
搜索爆破用户名字典是什么?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
2、搜索登录成功的IP有哪些:
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
搜索登录成功的日期、用户名、IP:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
3、搜索新增用户日志:
grep "useradd" /var/log/secure
4、搜索删除用户的日志:
grep "userdel" /var/log/secure
- Webshell扫描
1:河马webshell查杀(linux版):http://www.shellpub.com
注意:不要将本软件放置到web目录下,不要在web目录下运行软件。
32位系统:hm-linux-32.tgz
64位系统:hm-linux-amd64.tgz
1:mkdir starso 新建一个文件夹,将hm文件上传到starso文件夹中。
2:tar -zxvf hm-linux-amd64.tgz解压hm文件
3:./hm scan 网站web目录(网站web目录需向客户确认)查杀shell
4:cat result.csv扫描完成之后结果会保存为result.csv文件,查看可疑文件。
5:检查完成后删除创建的文件夹starso及里面的相关文件。
- 病毒查杀
安装EDR进行全面的安全扫描和病毒查杀。