应急响应

标签：系统日志   event   monitor   建议   star   一个   ssi   hash   rdp   

• 了解现状、发生时间、系统架构、确认感染主机

• 被感染主机：网络隔离、禁止使用U盘和移动硬盘
• 未感染主机：ACL隔离、关闭SSH、RDP等协议、禁用U盘和移动硬盘

• windows系统：文件排查、进程排查、系统信息排查、日志排查
• linux系统：文件排查、进程排查、日志排查

• 已感染主机：断网隔离、等待解密进展
• 未感染主机
• 补丁修复：在线补丁、离线补丁
• 事件加固：安全软件防护、开启实时防护、及时更新病毒库和规则库

• 预防
• 定期打补丁
• 口令策略加固
• 监控
• 部署杀毒软件
• 部署流量监测设备

• net user：获取本机用户列表
• net localgroup administrator：本机管理员
• net session：查看当前会话
• net start：查看当前运行的服务

• net user wilson$ 123456 /add
• net localgroup administrators wilson$ /add

• net user wilson$
• 注册表（SAM）
• 组策略-用户管理

• netstat -ano：查看开启了哪些端口
• netstat -ano > netstat.txt：重定向到文件
• tasklist：查看运行了哪些进程
• tasklist > tasklist.txt :重定向到文件
• tasklist | findstr PID：根据PID查找进程
• netstat -an | findstr 3389 ：查看3389端口
• REG query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber   :查看远程登录的端口号

• schtasks /query /fo LIST /v ：获取本机计划任务
• schtasks /create /sc minute /mo 20 /tn "demo" /tr D:\a.vbs  :创建一个名为demo的计划任务
• schtasks /delete /tn "demo" /f ：删除名为demo的计划任务

• find /c "ext" demo.txt  ：在demo.txt文件中搜索exe字符串出现此熟
• find /n /i "ext" demo.txt ：在demo.txt文件中忽略大小写查找exe

• findstr /s /i "Hello" *.*  ：不区分大小写，搜索在当前目录和所有子目录中的含有”hello“的文件

• wmic process：获取系统进程信息

• attrib file ：查看文件属性

• Sglab_ir
• gather_log

• %WINDIR%
• %WINDIR%\system32\
• %LOCALAPPDATA%
• %TEMP%

• windoes系统日志：C:\Windows\System32\winevt\Logs
• 着重查看安全日志和系统日志
• 查看：eventvwr
• 应用程序和服务日志-Microsoft-windows-ternimalservice-localSessionManager：查看登录session日志

• 10 - 远程交互：mstsc（远程桌面）
• 3   - 网络
• 2   - 本地

• Event log Explorer  ：日志浏览工具
• LogParser ：日志分析工具

• wireshark、
• tcpdump
• tcpdump host ip1 and ip2
• tcpdump -i eth0
• micrp network monitor

• PCHunter：※
• autoruns：启动项
• peocess explorer：进程管理

• 爆破工具

• lesuobingdu.360.cn：解密网站
• everthing：查找所有文件
• 情报分析平台：360威胁情报中心、微步、VT、IBM XFORCE

• 传播方式：RDP弱口令爆破远程登录植入病毒
• 防护建议：修改弱口令、修改通用密码、安装杀毒软件、及时安装补丁、开启关键日志收集功能
• 样本MD5计算
• certutil -hashfile file md5
• 上传md5到微步在线校验

• 传播方式：RDP弱口令爆破远程登录植入病毒
• 防护建议：修改弱口令、修改通用密码、安装杀毒软件、及时安装补丁、开启关键日志收集功能

• 处置方案：卸载或更新、

应急响应

标签：系统日志   event   monitor   建议   star   一个   ssi   hash   rdp   

原文地址：https://www.cnblogs.com/ruowei/p/10852208.html