如何判断有黑客入侵(怎么知道被黑客入侵)

行文仓促，不足之处，还望大牛指正。

1 事件分类

常见的安全事件：

Web入侵：挂马、篡改、Webshell

系统入侵：系统异常、RDP爆破、SSH爆破、主机漏洞

病毒木马：远控、后门、勒索软件

信息泄漏：脱裤、数据库登录（弱口令）

网络流量：频繁发包、批量请求、DDOS攻击

一个常规的入侵事件后的系统排查思路：

文件分析

a) 文件日期、新增文件、可疑/异常文件、最近使用文件、浏览器下载文件

b) Webshell 排查与分析

c) 核心应用关联目录文件分析

进程分析

a) 当前活动进程 & 远程连接

b) 启动进程&计划任务

c) 进程工具分析

展开全文

i. Windows:Pchunter

ii. Linux: Chkrootkit&Rkhunter

系统信息

a) 环境变量

b) 帐号信息

c) History

d) 系统配置文件

日志分析

a) 操作系统日志

i. Windows: 事件查看器（eventvwr）

ii. Linux: /var/log/

b) 应用日志分析

i. Access.log

ii. Error.log

1、敏感目录的文件分析

2、新增文件分析

3、特殊权限的文件

4、隐藏的文件

3.1.2 进程命令

1、使用netstat 网络连接命令查看

2、使用ps命令，分析进程

3、使用ls 以及 stat 查看系统命令是否被替换

4、隐藏进程查看

3.1.3 系统信息

1、查看分析history

2、查看分析用户相关分析

3、查看分析任务计划

4、查看linux 开机启动程序

5、查看系统用户登录信息

6、系统路径分析

7、指定信息检索

8、查看ssh相关目录有无可疑的公钥存在

3.1.4 后门排查

1、chkrootkit

2、rkhunter

3、RPM check检查

4、Webshell查找

3.1.5 日志分析

1、日志查看分析

2、基于时间的日志管理

3、登录日志

3.1.6 相关处置 3.2 Windows系列分析排查3.2.1 文件分析

1、无异常文件

2、操作痕迹

3、文件属性

4、关键字匹配

3.2.2 进程命令

1、网络连接

2、定位进程

3.2.3 系统信息

1、系统环境变量

2、计划任务

3、帐号信息

4、Systeminfo查看补丁

3.2.4 后门排查

1、PC Hunter工具

2、Webshell 排查

3.2.5 日志分析

1、事件管理器

2、Log Parser工具

3.2.6 相关处置

1、相关处置

3.3 应用类

在对WEB日志进行安全分析时，可以按照下面两种思路展开，逐步深入，还原整个攻击过程。

首先确定受到攻击、入侵的时间范围，以此为线索，查找这个时间范围内可疑的日志，进一步排查，最终确定攻击者，还原攻击过程。

一般攻击者在入侵网站后，通常会上传一个后门文件，以方便自己以后访问。我们也可以以该文件为线索来展开分析。

4 应急总结

核心思路是“顺藤摸瓜”

碎片信息的关联分析

时间范围的界定以及关键操作时间点串联

Web入侵类，shell定位很重要

假设与求证

攻击画像与路线确认

密码读取

帐号信息

敏感信息

滚雪球式线性拓展

常见的入侵方式Getshell方法

a) WEB入侵

b) 系统入侵

c) 典型应用

1、应急需求有哪些分类?

----------------------------

2、关于windows的日志工具（log parser）有无图形界面版？

----------------------------

3、在linux日志中，有无黑客入侵后的操作命令的统计？

----------------------------

4、3.2.3 提到了Windows-Exploit-Suggester，有无linux版？

----------------------------

5、有无linux自动化信息收集的脚本工具？

----------------------------

6、有无综合的取证分析工具？

----------------------------

7、关于业务逻辑的排查方法说明？

----------------------------

网络安全应急响应的对象

计算机网络安全事件应急响应的对象是指针对计算机或网络所存储、传输、处理的信息的安全事件，事件的主体可能来自自然界、系统自身故障、组织内部或外部的人、计算机病毒或蠕虫等。按照计算机信息系统安全的三个目标，可以把安全事件定义为破坏信息或信息处理系统CIA的行为。比如：

1．破坏保密性的安全事件：比如入侵系统并读取信息、搭线窃听、远程探测网络拓扑结构和计算机系统配置等；

2．破坏完整性的安全事件：比如入侵系统并篡改数据、劫持网络连接并篡改或插入数据、安装特洛伊木马（如BackOrifice2K）、计算机病毒（修改文件或引导区）等；

3．破坏可用性(战时最可能出现的网络攻击)的安全事件：比如系统故障、拒绝服务攻击、计算机蠕虫（以消耗系统资源或网络带宽为目的）等。但是越来越多的人意识到，CIA界定的范围太小了，比如以下事件通常也是应急响应的对象：

5．抵赖：指一个实体否认自己曾经执行过的某种操作，比如在电子商务中交易方之一否认自己曾经定购过某种商品，或者商家否认自己曾经接受过订单。

6．垃圾邮件骚扰：垃圾邮件是指接收者没有订阅却被强行塞入信箱的广告、政治宣传等邮件，不仅耗费大量的网络与存储资源，也浪费了接收者的时间。

7．传播色情内容：尽管不同的地区和国家政策不同，但是多数国家对于色情信息的传播是限制的，特别是对于青少年儿童的不良影响是各国都极力反对的。

8．愚弄和欺诈：是指散发虚假信息造成的事件，比如曾经发生过几个组织发布应急通告，声称出现了一种可怕的病毒“Virtual Card for You”，导致大量惊惶失措的用户删除了硬盘中很重要的数据，导致系统无法启动。

网络安全应急响应做什么

应急响应的活动应该主要包括两个方面：

第一、未雨绸缪，即在事件发生前事先做好准备，比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施；

第二、亡羊补牢，即在事件发生后采取的措施，其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人，也可能来自系统，不如发现事件发生后，系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。

以上两个方面的工作是相互补充的。首先，事前的计划和准备为事件发生后的响应动作提供了指导框架，否则，响应动作将陷入混乱，而这些毫无章法的响应动作有可能造成比事件本身更大的损失；其次，事后的响应可能发现事前计划的不足，吸取教训，从而进一步完善安全计划。因此，这两个方面应该形成一种正反馈的机制，逐步强化组织的安全防范体系。

来源：先知安全技术社区

https://xianzhi.aliyun.com/forum/read/1655.html

你会喜欢

亲喜欢吗？记得点赞| 留言| 分享

长按公众号，可“ 置顶”

----------------------------------

要闻，干货，原创，专业

华夏黑客同盟我们坚持，自由，免费，共享！

转载声明：本文转载自「黑白之道」，搜索「i77169」即可关注。

转载声明：本文转载自「黑白之道」，搜索「i77169」即可关注。