勒索病毒应急处置流程
发布日期:2021-05-09 05:19:30
浏览次数:18
分类:博客文章
本文共 2008 字,大约阅读时间需要 6 分钟。
勒索病毒应急处置流程
1.事件状态判断
了解现状,了解发病时间,了解系统架构
确认被感染主机范围
2.临时处置
已感染主机:进行网络隔离,禁止使用U盘、移动银盘等移动存储设备
未感染主机:ACL隔离、关闭ssh、rdp等协议,禁止使用U盘、移动硬盘。
3.信息收集分析
样本获取
windows:
文件排查:
msconfig查看启动项
%UserProfile%\Recent查看最近使用的的文档
进程排查
netstat -ano查看网络连接、定位可疑的ESTABLISHED
tasklist | findstr 1228 根据netstat定位出的pid,在通过tasklist进行进程定位
wmic process | findstr "vmvare-hostd.exe" 获取进程全路径
系统信息排查
查看环境变量设置
windows计划任务(程序-附件-系统工具-任务计划程序)
windows账号信息,如隐藏账号等(compmgmt.msc)用户名以$结尾的为隐藏用户
查看当前系统用户的会话query user,logoff踢出该用户
查看systeminfo信息,系统版本以及补丁信息
工具排查
PC Hunter 信息信息查看
ProcessExplorer 系统和应用程序监视够工具
Network Monitor 网络协议分析
日志排查(计算机管理-事件查看器 eventvwr)
日志类型:
应用程序日志(应用程序日常使用记录)
系统安全日志(谁,使用什么权限、干了什么事)
setup:软件安装、更新安装
系统日志:组策略更改等系统敏感操作
forwarded-Events:暂无日志信息
主要分析安全日志,借助自带的筛选和查找功能,将帅选日志导出使用notepad++打开
使用正则去匹配远程登录过的IP地址
((?:(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))).){3}(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))))
linux
文件排查
使用stat命令:
access time访问时间
modify time内容修改时间(黑客通过菜刀类工具改变的是修改时间,所以如果修改时间在创建时间之前明显是可以文件)
change time属性改变时间
1.敏感目录文件分析[类/tmp目录、命令目录/usr/bin、/usr/sbin]
ls -a 查看隐藏文件和目录
2.查看tmp目录下的文件 ls -alt /tmp [-t 按更改时间排序]
3.查看看机启动项 ls -alt /etc/init.d ,/etc/init.d是/etc/rc.d/init.d的软链接
4.按时间排序查看指定目录下的文件 ls -alt | head -n 10
5.查看历史命令记录文件 cat /root/.bash_history | more
6.查看操作系统用户信息文件/etc/passwd
root:x:0:0:root:/root:/bin/bash
[用户名:口令:用户标识:组标识:注释性描述:主目录:登录shell]
7.查找新增文件
查找24小时内被修改的php文件find ./ -mtime 0 -name "*.php"
查找72小时内新增的文件 find / -ctime 2
-mtime -n +n 按更改时间查找 -n n天以内 +n n天以前
-atime -n +n 按访问时间查找 -n n天以内 +n n天以前
-ctime -n +n 按创建时间查找 -n n天以内 +n n天以前
8.特殊权限文件查看
查找777权限的文件 find / *.php -perm 4777
9.隐藏的文件 ls -ar | grep "^\."
10.查看分析任务计划 crontab -u <-l、-r、-e>
-u 指定用户 -l 列出某用户任务计划 -r 删除任务
-e 编辑某个用户的任务(也可以直接修改/etc/crontab文件)
进程排查
1.使用netstat -anptl/-pantu | more 查看网络连接状况
2.根据netstat 定位出的可疑pid,使用ps命令、分析进程
ps aux | grep pid | grep -v grep
日志排查
1.查看系统用户登录信息
lastlog,查看系统中所有用户最近一次登录的信息
lastb,显示用户错误的登录列表
last,显示用户最近登录信息。
4.事件处置
已感染主机:进行断网隔离、等待解密进展、重装系统
未感染主机:
补丁修复(在线补丁、离线补丁)
事件加固:安装防护软件(开启实时防护、及时更新病毒库)
5.事件防御
预防:定期打补丁、口令策略加固
监控:部署杀毒软件、部署流量监测设备
发表评论
最新留言
逛到本站,mark一下
[***.202.152.39]2025年05月10日 16时00分19秒
关于作者
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!
推荐文章
java快捷键eclipse_eclipse的设置和一些快捷键
2023-01-24
java拼车平台(ssm框架毕业设计)
2023-01-24
Java指定区间返回随机数
2023-01-24
Java推动老年人社区服务(毕设源码+mysql+lw)
2023-01-24
Java提高班(六)反射和动态代理(JDK Proxy和Cglib)
2023-01-24
java操作List
2023-01-24
Java操作Sql语句 出现迭代死循环 (Bug排查)
2023-01-24
#Leetcode# 92. Reverse Linked List II
2023-01-24
java攀枝花市房屋租售信息管理平台的设计与实现(ssm)
2023-01-24
java教学团队管理系统(ssm)
2023-01-24
java教学网站(ssm)
2023-01-24
java教学质量管理平台(ssm)
2023-01-24
@Transactional踩坑实践,你能看的出来么?
2023-01-24
java教师信息采集系统(ssm)
2023-01-24
java教师教学质量评估系统(ssm)
2023-01-24
java教师管理系统(ssm)
2023-01-24
java教师管理系统(ssm)
2023-01-24
java教师管理系统(ssm)
2023-01-24
java教师继续教育(ssm)
2023-01-24
白红宇的个人博客 - 记录点点滴滴的事 - 您是第 465212012 位访客