网络安全 - 应急响应检查表

1）整站打包用WebShell扫描工具扫描

使用专门的WebShell扫描工具，对整个网站进行扫描，以便检测和清除任何潜在的WebShell文件或代码。

相关文章：36-4 PHP 代码审计基础-CSDN博客

2）使用命令行进行关键字搜索

在Linux环境下，通过命令行查找包含特定关键字的PHP文件：

find /var/www/ -name "*.php" -print0 | xargs -0 egrep -H 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$_POST\[|eval \(str_rot13|\.chr\(|\$\{"_P|eval\(\$_R|file_put_contents\(\.\*\$\_|base64_decode'

这条命令会递归搜索 /var/www/ 目录下所有的 .php 文件，并查找包含指定关键字的行。

3）特定路径下搜索eval($_POST

在指定目录（例如 /app/website/）下，搜索包含 eval($_POST 的内容：

grep -i -r 'eval($_POST' /app/website/*

4）递归查找包含eval($_POST的文件

递归查找指定目录（例如 /app/website/）下所有文件，查找包含 eval($_POST 的行：

find /app/website/ -type f | xargs grep 'eval($_POST'

这些命令和步骤有助于发现和清除WebShell，其中关键是通过关键字搜索检测到可能的恶意代码。

数据库排查

MySQL 日志

1. 错误日志

   • 默认开启，文件名格式为 hostname.err。
   • 位置：通常在 MySQL 数据目录，记录数据库错误信息。
   • 示例：hostname.err

2. 查询日志

   • 记录用户的所有操作，一般情况下默认关闭。
   • 文件名：general_log_file
   • 常见于潜在的恶意操作（如 getshell 攻击）检测。
   • 示例：general_log_file

3. 慢查询日志

   • 记录执行时间超过指定时间的查询语句。
   • 文件名：slow_query_log_file
   • 有助于检测可能导致性能问题或安全漏洞的慢查询操作。
   • 示例：slow_query_log_file

4. 事务日志

   • 文件名通常是 ib_logfile0 等。
   • 用于事务的持久化和恢复，一般直接操作较少。

5. 二进制日志

   • 记录修改数据或可能引起数据改变的 MySQL 语句。
   • 文件名类似 mysql-bin.000001，在数据目录中。
   • 对于数据库复制和恢复非常重要。

MSSQL 日志

1. 错误日志
   • 使用 exec xp_readerrorlog 命令读取。
   • 位置：Object Explorer -> Management -> SQL Server Logs -> View Logs。
   • 示例路径（SQL Server 2008）：R2\MSSQL10_50.MSSQLSERVER\MSSQL\Log\ERRORLOG

其他检查点（Misc）

1. 异常文件检查

   • 检查 mysql\lib\plugin 目录下的异常文件。

2. 异常存储过程

   • 检查 select * from mysql.func 查询结果，查看是否存在异常的存储过程。

3. MSSQL 存储过程

   • 检查 xp_cmdshell 等存储过程的使用情况。

4. 异常登录

   • 监视数据库日志，注意异常的登录尝试。

5. 数据库弱口令

   • 检查数据库用户的密码强度，避免使用弱口令。

6. MySQL 相关命令

   • 使用如下命令查看日志配置和状态：

     show global variables like '%log%';
     show global variables like '%gene%';
     show master status;

7. 其他

   • 检查 mysqld 配置文件，通常是 my.cnf，确保日志配置符合安全最佳实践。

这些指南将有助于管理员或安全专家检测和应对数据库安全问题，保护数据库免受恶意攻击和意外操作的影响。

三、linux应急响应

文件

ls -alt

find / -ctime -72h

ls -alt | head -n 10

find ./ -mtime 0 -name "*.jsp"

ls -al /tmp | grep "Feb 27"

find / -type f -name "*.jsp" -perm 0777

find / -type f -name ".*.xxx"

strings /usr/bin/.sshd | grep -E '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}'

find /etc/ /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime 0

find /tmp -iname "*" -atime 1 -type f

/usr/bin /usr/sbin

日志

/var/log/messages - 包含整体系统信息，包括系统启动期间的日志。此外，mailx、cron、daemon、kern和auth等内容也记录在/var/log/messages中。

/var/log/dmesg - 包含内核缓冲信息（kernel ring buffer）。系统启动时，会在屏幕上显示与硬件相关的信息，可以使用dmesg命令查看这些信息。

/var/log/auth.log - 包含系统授权信息，如用户登录和使用的权限机制等。

/var/log/boot.log - 包含系统启动过程的日志信息。

/var/log/daemon.log - 包含各种系统后台守护进程的日志信息。

/var/log/dpkg.log - 记录使用dpkg命令安装或清除软件包的日志。

/var/log/kern.log - 包含内核产生的日志，有助于在定制内核时解决问题。

/var/log/lastlog - 记录所有用户的最近登录信息。这不是一个ASCII文件，需要使用lastlog命令查看内容。

/var/log/maillog 或 /var/log/mail.log - 包含系统运行的电子邮件服务器的日志信息，如sendmail的日志。

/var/log/user.log - 记录所有等级用户的系统信息日志。

/var/log/Xorg.x.log - 来自X服务器的日志信息。

/var/log/alternatives.log - 记录更新和替代信息的日志文件。

/var/log/btmp - 记录所有失败登录的信息。使用lastb命令可以查看btmp文件的内容。

/var/log/cups/ - 包含所有打印信息的日志文件。

/var/log/anaconda.log - 在安装Linux时，记录所有安装信息的日志文件。

/var/log/yum.log - 包含使用yum安装的软件包信息的日志文件。

/var/log/cron - 每当cron进程开始一个工作时，将相关信息记录在此文件中。

/var/log/secure - 包含验证和授权方面的信息，例如sshd记录的所有信息（包括失败登录）。

/var/log/wtmp 或 /var/log/utmp - 包含登录信息的文件。使用wtmp可以查找当前登录用户以及登录和注销的历史记录。

/var/log/faillog - 包含用户登录失败的信息，记录错误的登录尝试。

此外，/var/log目录还包含以下基于系统特定应用的子目录：

/var/log/httpd/ 或 /var/log/apache2/ - 包含Apache服务器的access_log和error_log信息。

/var/log/lighttpd/ - 包含Lighttpd服务器的access_log和error_log信息。

/var/log/mail/ - 包含邮件服务器的额外日志信息。

/var/log/prelink/ - 包含被prelink修改的.so文件的信息。

/var/log/audit/ - 包含Linux audit daemon记录的信息。

/var/log/samba/ - 包含由Samba服务器记录的信息。

/var/log/sa/ - 包含由sysstat软件包每日收集的sar文件。

/var/log/sssd/ - 用于守护进程安全服务的日志信息。

# 这个命令我执行，没有回显
grep 'Accepted' /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr# 建议换这个
grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'

grep 'Failed' /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr

tail -n 400 -f demo.log

其他命令示例：

grep -c 'ERROR' demo.log

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

netstat -anpt

1. 最近使用的文件和下载文件：

   • C:\Documents and Settings\Administrator\Recent
   • C:\Documents and Settings\Default User\Recent
   • %UserProfile%\Recent

   这些路径包含了用户最近使用的文件和浏览器下载的文件。可以根据日期排序来查找最近活动的文件。

2. 下载目录：

   • 通常是浏览器默认下载文件的存储位置，可在浏览器设置中查找。

3. 回收站文件：

   • 查看回收站中删除的文件，可能包含有价值的信息或者删除记录。

4. 程序临时文件：

   • 可能存储在系统的临时文件夹中，如 C:\Windows\Temp\ 或 %Temp% 目录下。

5. 历史文件记录：

   • 操作系统和应用程序可能会记录文件打开、保存和编辑的历史记录，需要根据具体应用程序查找。

6. 应用程序打开历史：

   • 不同的应用程序可能会有记录用户操作的功能，例如文档编辑器或者特定工具软件。

7. 搜索历史：

   • 操作系统和应用程序通常会记录用户的搜索历史，可以在相关设置中查找或者通过日志文件查看。

8. 快捷方式（LNK）：

   • 可能包含文件的访问路径和使用记录，可以在文件资源管理器中查看属性。

9. 临时目录：

   • 可能存储在系统临时文件夹或者用户临时文件夹中，如 C:\Windows\Temp\ 或 %Temp% 目录。

10. 操作系统版本相关的路径：

    • 在不同版本的Windows操作系统中，用户文件和临时文件存储的路径可能有所不同，需要根据具体操作系统版本调整路径。

11. 开始-运行，输入%UserProfile%\Recent：

    • 这是一个快捷方式，可以直接打开当前用户的最近文件夹。

根据这些信息，你可以通过查找这些路径和设置来分析最近的文件活动、下载记录以及可能的异常文件或活动。

工具安装：日志分析工具Log Parser详细安装-CSDN博客

工具使用：日志分析工具logParser的使用-腾讯云开发者社区-腾讯云 (tencent.com)

账户

新增用户

• 在Windows上，使用命令 net user <username> <password> /add 添加新用户，重点检查新增的账号。

弱口令

• 弱口令是指容易被破解的密码，应该使用复杂、长且包含多种字符类型的密码来增强安全性。

管理员对应键值

• 管理员用户在注册表中的路径：HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users。

查看账户变化

• 使用 lusrmgr.msc 可以管理本地用户和组，并查看账户变化历史。

列出当前登录账户

• net user 命令可以列出当前登录的用户账户。

列出当前系统所有账户

• 使用 wmic UserAccount get 命令可以列出当前系统中所有的用户账户。

查看管理员组成员

• net localgroup administrators 命令用于查看本地管理员组的成员。

隐藏/克隆账户

• 克隆账户通常会涉及到修改注册表中的特定键值。一个示例键值是 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users，用于管理账户。

D盾查杀

• D盾是一种安全工具，用于检测和清除系统中的恶意软件和安全漏洞。

日志 - 登录时间/用户名

• 您可以通过操作系统的事件日志，如Security事件日志，来查看登录时间和相关的用户名信息。

查看进程及其服务信息

• tasklist /svc | findstr pid：列出所有进程及其服务，并查找包含 "pid" 的行。
• netstat -ano：显示网络状态和当前正在运行的进程及其 PID。
• tasklist /svc：列出所有正在运行的进程及其服务。
• findstr：在输出中查找指定的字符串模式。

使用WMIC获取进程和服务信息

• wmic process | find "ProcessId" > proc.csv：通过WMIC获取进程列表，并将包含 "ProcessId" 的行保存到 proc.csv 文件中。
• Get-WmiObject -Class Win32_Process：使用PowerShell获取系统中所有进程的详细信息。
• Get-WmiObject -Query "select * from win32_service where name='WinRM'" -ComputerName Server01, Server02 | Format-List -Property PSComputerName, Name, ExitCode, ProcessID, StartMode, State, Status：
  • 查询指定计算机（Server01 和 Server02）上名为 "WinRM" 的服务的详细信息，并以列表形式显示计算机名、服务名、退出代码、进程ID、启动模式、状态和状态。

进程的安全性和性能监控

• 没有签名验证信息的进程
• 没有描述信息的进程
• 进程的属主
• 进程的路径是否合法
• CPU或内存资源占用长时间过高的进程

其他实用工具和命令

• msinfo32：系统信息工具，可用于查看系统硬件和软件配置。
• wmic process get caption,commandline /value：获取进程名称和命令行参数。
• wmic process where caption="svchost.exe" get caption,commandline /value：获取指定进程名称为 "svchost.exe" 的进程的名称和命令行参数。
• wmic service get name,pathname,processid,startname,status,state /value：获取服务的名称、路径、进程ID、启动账户、状态和状态。
• wmic process get CreationDate,name,processid,commandline,ExecutablePath /value：获取进程的创建日期、名称、进程ID、命令行和可执行路径。
• wmic process get name,processid,executablepath | findstr "7766"：查找进程名为 "7766" 的进程的名称、进程ID和可执行路径。

netstat -ano

• CLOSED：无连接活动或正在进行。
• LISTEN：监听状态，服务端正在等待客户端的连接请求。
• SYN_RECV：服务端收到了一个连接请求（SYN），正在等待确认。
• SYN_SENT：客户端发送了一个连接请求（SYN），正在等待服务端的确认。
• ESTABLISHED：连接已经建立，数据可以传输。
• FIN_WAIT1：请求关闭连接，正在等待对方发送关闭请求。
• FIN_WAIT2：连接正在关闭，等待对方的关闭请求确认。
• TIME_WAIT：连接已经关闭，等待足够的时间以确保远程端接收到连接关闭的消息。
• CLOSE_WAIT：远程端已经关闭连接，本地端正在等待关闭连接。
• LAST_ACK：本地端已经发送了关闭连接请求，等待远程端的确认。
• CLOSING：双方同时尝试关闭连接，但仍在进行中。
• UNKNOWN：无法识别的端口状态，可能由于系统或网络问题。

注册表路径：

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run：系统启动时所有用户都会运行的程序。
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce：系统启动时运行一次的程序。
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run：通过组策略配置的自启动项。
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run：当前用户登录时运行的程序。
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce：当前用户登录时运行一次的程序。
• HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx：扩展的RunOnce配置。

文件系统路径：

• (ProfilePath)\Start Menu\Programs\Startup：用户个人设置中启动菜单中的程序。

工具和命令：

• msconfig：系统配置实用程序，用于管理启动项和服务。

  • 使用msconfig可以在“启动”选项卡中查看和管理系统启动时加载的程序。

• gpedit.msc：组策略编辑器，可用于管理通过组策略设置的自启动项。

其他位置：

• 开始 > 所有程序 > 启动：包含当前用户登录时自动启动的程序的文件夹路径。

文件系统路径：

• **C:\Windows\System32\Tasks**：包含系统级别的计划任务。
• **C:\Windows\SysWOW64\Tasks**：64位Windows系统上用于32位应用程序的任务计划路径。
• **C:\Windows\tasks**：另一个可能包含计划任务的路径，但通常不是主要的系统任务计划存储位置。

命令和工具：

• schtasks：命令行工具，用于创建、删除、查询、更改计划任务。

  • 可以通过命令行来管理计划任务，如创建、修改和删除任务等操作。

• taskschd.msc：任务计划程序管理器，用于通过图形用户界面管理计划任务。

  • 可以直观地查看和管理计划任务，包括创建、编辑和删除任务等。

• at：命令行工具，用于一次性安排计划任务执行某项工作。

控制面板路径：

• 开始 > 设置 > 控制面板 > 任务计划：在控制面板中可以访问和管理计划任务。
  • 提供了一个图形化界面来管理和配置计划任务，适合不熟悉命令行的用户使用。

1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

   • 用户配置文件列表，包括用户的注册表配置信息。

2. *HKLM\SAM\Domains\Account*

   • SAM数据库中的账户信息，包括本地用户账户。

3. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system

   • 系统策略设置，可能包含系统安全策略配置。

4. HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components

   • Active Setup组件安装信息，用于初始化用户环境。

5. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\App Paths

   • 应用程序路径设置，包含注册的应用程序路径信息。

6. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

   • Windows登录过程配置，如自动登录设置等。

7. HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center\Svc

   • 安全中心服务相关配置，用于检查系统安全状态。

8. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths

   • 用户最近输入的文件路径记录，可能包含用户活动追踪信息。

9. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

   • 用户最近运行的程序记录，用于查看用户活动。

10. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\StartMenu

    • 开始菜单配置，可能包含启动项设置。

11. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager

    • 会话管理器配置，用于管理系统会话和进程。

12. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

    • 用户文件夹路径设置，用于确定用户文件夹位置。

13. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved

    • 扩展名注册表项，用于注册Shell扩展和插件。

14. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\AppCertDlls

    • 应用程序认证DLL列表，用于加载应用程序认证DLL。

15. HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

    • 可执行文件的打开命令配置，用于检查可执行文件的执行路径。

16. HKEY_LOCAL_MACHINE\BCD00000000

    • 启动配置数据的注册表分支，用于管理系统启动配置。

17. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

    • 本地安全权限子系统（LSA）配置，用于管理安全策略和权限。

18. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects

    • 浏览器辅助对象的注册表设置，用于管理浏览器插件和辅助工具。

19. HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

    • 64位Windows系统上的浏览器辅助对象设置。

20. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions

    • Internet Explorer浏览器扩展设置，用于管理IE浏览器的扩展功能。

21. HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions

    • Internet Explorer扩展的注册表设置，用于管理IE浏览器的扩展功能。

22. HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions

    • 64位Windows系统上的Internet Explorer扩展设置。

23. *HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run*

    • 系统启动时自动运行的程序配置。

24. HKEY_CLASSES_ROOT\exefile\shell\open\command

    • 可执行文件的打开命令设置，用于确定可执行文件的执行路径。

服务

杂项

1. 查看指定时间范围包括上传文件夹的访问请求：

   findstr /s /m /I “UploadFiles” *.log

   关键信息是 x.js：

   findstr /s /m /I “x.js” *.asp

2. 根据关键字搜索 shell.asp 文件：

   for /r d:\ %i in (shell.asp) do @echo %i

3. 显示系统环境变量：

   set

4. 显示系统信息：

   systeminfo

5. 匹配 IP 地址的正则表达式：

   ((?:(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))).){3}(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))))

6. 建议安装的安全软件：

   • 360
   • 小A
   • 瑞星
   • 腾讯管家
   • 金山
   • 火绒

五、网络层应急响应