由于時間比較緊,年底業務比較多在此很多朋友想要了解我們對于滲透測試安全檢測以及應急響應的具體操作實踐過程,對于漏洞發生問題的根源和即時的處了解決修補網站漏洞的響應時間進行全面的了解和預防,使公司組建一個更加專業的安全部門來阻擋黑客的攻擊和入侵!
![](https://img.laitimes.com/img/_0nNw4CM6IyYiwiM6ICdiwiI0gTMx81dsQWZ4lmZf1GLlpXazVmcvwFciV2dsQXYtJ3bm9CX9s2RkBnVHFmb1clWvB3MaVnRtp1XlBXe0xCMy81dvRWYoNHLwEzX5xCMx8FesU2cfdGLwMzX0xiRGZkRGZ0Xy9GbvNGLpZTY1EmMZVDUSFTU4VFRR9Fd4VGdsYTMfVmepNHLrJXYtJXZ0F2dvwVZnFWbp1zczV2YvJHctM3cv1Ce-cmbw5SM3kjNyADO0gTYkFGNzU2YyYzX5QzN1ATMzEzLcdDMyIDMy8CXn9Gbi9CXzV2Zh1WavwVbvNmLvR3YxUjLyM3Lc9CX6MHc0RHaiojIsJye.png)
6.7.1. 常見入侵點
- Web入侵
- 高危服務入侵
6.7.2. 常見實作
6.7.2.1. 用戶端監控
- 監控敏感配置檔案
- 常用指令ELF檔案完整性監控
- ps
- lsof
- …
- rootkit監控
- 資源使用報警
- 記憶體使用率
- CPU使用率
- IO使用率
- 網絡使用率
- 新出現程序監控
- 基于inotify的檔案監控
6.7.2.2. 網絡檢測
基于網絡層面的攻擊向量做檢測,如Snort等。
6.7.2.3. 日志分析
将主機系統安全日志/記錄檔、網絡裝置流量日志、Web應用通路日志、SQL應用通路日志等日志集中到一個統一的背景,在背景中對各類日志進行綜合的分析。
應急響應
6.8.1. 響應流程
6.8.1.1. 事件發生
運維監控人員、客服稽核人員等發現問題,向上通報
6.8.1.2. 事件确認
判斷事件的嚴重性,評估出問題的嚴重等級,是否向上進行彙報等
6.8.1.3. 事件響應
各部門通力合作,處理安全問題,具體解決階段
6.8.1.4. 事件關閉
處理完事件之後,需要關閉事件,并寫出安全應急處理分析報告,完成整個應急過程。
6.8.2. 事件分類
- 病毒、木馬、蠕蟲事件
- Web伺服器入侵事件
- 第三方服務入侵事件
- 系統入侵事件
- 利用Windows漏洞攻擊作業系統
- 網絡攻擊事件
- DDoS / ARP欺騙 / DNS劫持等
6.8.3. 分析方向
6.8.3.1. 檔案分析
- 基于變化的分析
- 日期
- 檔案增改
- 最近使用檔案
- 源碼分析
- 檢查源碼改動
- 清除WebShell等後門
- 系統日志分析
- 應用日志分析
- 分析User-Agent,e.g. awvs / burpsuite / w3af / nessus / openvas
- 對每種攻擊進行關鍵字比對,e.g. select/alert/eval
- 異常請求,連續的404或者500
- md5sum 檢查常用指令二進制檔案的哈希,檢查是否被植入rootkit
6.8.3.2. 程序分析
- 符合以下特征的程序
- CPU或記憶體資源占用長時間過高
- 沒有簽名驗證資訊
- 沒有描述資訊的程序
- 程序的路徑不合法
- dump系統記憶體進行分析
6.8.3.3. 網絡分析
- 防火牆配置
- DNS配置
- 路由配置
6.8.3.4. 配置分析
- 檢視Linux SE等配置
- 檢視環境變量
- 檢視配套的系統資料庫資訊檢索,SAM檔案
- 核心子產品
6.8.4. Linux應急響應
6.8.4.1. 檔案分析
- 最近使用檔案
- find / -ctime -2
- C:\Documents and Settings\Administrator\Recent
- C:\Documents and Settings\Default User\Recent
- %UserProfile%\Recent
- 系統日志分析
- /var/log/
- 重點分析位置
- /var/log/wtmp 登入進入,退出,資料交換、關機和重新開機紀錄
- /var/run/utmp 有關目前登入使用者的資訊記錄
- /var/log/lastlog 檔案記錄使用者最後登入的資訊,可用 lastlog 指令來檢視。
- /var/log/secure 記錄登入系統存取資料的檔案,例如 pop3/ssh/telnet/ftp 等都會被記錄。
- /var/log/cron 與定時任務相關的日志資訊
- /var/log/message 系統啟動後的資訊和錯誤日志
- /var/log/apache2/access.log
- apache access log
- /etc/passwd 使用者清單
- /etc/init.d/ 開機啟動項
- /etc/cron* 定時任務
- /tmp 臨時目錄
- ~/.ssh
6.8.4.2. 使用者分析
- /etc/shadow 密碼登陸相關資訊
- uptime 檢視使用者登陸時間
- /etc/sudoers sudo使用者清單
6.8.4.3. 程序分析
- netstat -ano 檢視是否打開了可疑端口
- w 指令,檢視使用者及其程序
- 分析開機自啟程式/腳本
- /etc/init.d
- ~/.bashrc
- 檢視計劃或定時任務
- crontab -l
- netstat -an / lsof 檢視程序端口占用
6.8.5. Windows應急響應
- 最近使用檔案
- C:\Documents and Settings\Administrator\Recent
- C:\Documents and Settings\Default User\Recent
- %UserProfile%\Recent
- 系統日志分析
- 事件檢視器 eventvwr.msc
- 檢視是否有新增使用者
- 檢視伺服器是否有弱密碼
- 檢視管理者對應鍵值
- lusrmgr.msc 檢視賬戶變化
- net user 列出目前登入賬戶
- wmic UserAccount get 列出目前系統所有賬戶
- 本節重點講解了滲透測試中的檢測入侵手段以及應急響應的處了解決方案,如果有想要更深入的了解項目上線前的滲透測試服務可以去看看專業的網站安全公司來處了解決