基本思路流程

1. 收集信息：收集客户信息和中毒主机信息，包括样本 
2. 判断类型：判断是否是安全事件，何种安全事件，勒索、挖矿、断⽹、DoS 等等 
3. 抑制范围：隔离使受害⾯不继续扩⼤ 
4. 深⼊分析：⽇志分析、进程分析、启动项分析、样本分析⽅便后期溯源 
5. 清理处置：杀掉进程，删除⽂件，打补丁，删除异常系统服务，清除后⻔账号防⽌事件扩 ⼤，处理完毕后恢复⽣产 
6. 产出报告：整理并输出完整的安全事件报告

Windows入侵排查思路

检查系统账号安全

查看服务器是否有入口令,远程管理端口是否对公网开放(netstat -ano,或者问管理员)

lusrmagr.msc查看服务器是否存在隐藏账号

用D盾或者注册表中查看服务器是否存在隐藏账号,克隆账号

结合日志,查看管理员登陆时间,用户名是否存在异常

检查⽅法：Win+R 打开运⾏，输⼊“eventvwr.msc”，回⻋运⾏，打开“事件查看器”，导出 Windows ⽇志–安全，利⽤ Log Parser 进⾏分析

检查异常端口,进程

netstat -ano 检查端⼝连接情况，是否有远程连接、可疑连接

任务管理器-进程

检查启动项,计划任务,服务

检查系统相关信息

查看系统版本以及补丁信息

查找可疑⽬录及⽂件

日志分析

Webshell管理工具的流量特征

菜刀

菜刀webshell只使用了url编码+base64编码

shell特征就是传输参数名z0,还存在int_set("display_erros","0")字符串特征

蚁剑

默认的蚁剑shell,连接时会请求两次,器请求只是经过url编码,其流量中也存在和蚁剑一样的代码

第一次请求,关闭报错和magic_quotes,接下来去获取主机的信息

第二次请求,会把主机目录列出来

冰蝎2.0

使用aes加密发起三次请求

第一次请求服务端产生密钥写入session,session和当前会话绑定不同的客户端密钥也是不同的

第二次请求是为了获取key,

第三次使用key和aes加密进行通信

冰蝎3.0

使用aes加密发起请求

3.0分析流量发现相比2.0少了动态密钥的获取的请求,不再使用随机生成key,改为取连接密码的md5加密值的前16位作为密钥

第一次请求为判断是否可以建立连接,少了两次get获取冰蝎动态密钥的行为,

第二次发送phpinfo等代码执行,获取网站的信息

哥斯拉

支持n种加密

采用了和冰蝎3.0一样的密钥交换方式,哥斯拉建立连接时会发起三次请求,

第一次请求数据超级长,建立session,第二三次请求确认连接

1	grep "Accepted " /var/log/secure \| awk '{print $11}' \| sort \| uniq -c\| sort -nr \| more