贾大师 发表于 2017-9-7 10:13:28

网络入侵分析与排查

网络入侵分析与排查
一、我们所常见的黑客入侵安全事件主要有以下:
[*]Web入侵:挂马、篡改、Webshell
[*]系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞
[*]病毒木马:远控、后门、勒索软件
[*]信息泄漏:脱裤、数据库登录(弱口令)
[*]网络流量:频繁发包、批量请求、DDOS攻击
二、排查思路:一个常见入侵事件后的系统排查思路:攻击类型定位--时间范围--文件分析--进程分析--系统分析--日志分析--逻辑推理--事件总结
[*]文件分析a) 文件日期、新增文件、可疑/异常文件、最近使用文件、浏览器下载文件
[*]进程分析a) 当前活动进程 & 远程连接b) 启动进程&计划任务c) 进程工具分析
[*]系统分析a) 环境变量b) 帐号信息c) Historyd) 系统配置文件
[*]日志分析a) Windows: 事件查看器(eventvwr)
[*]http://p3.pstatp.com/large/3228000345c5391e5ce0查看日志三、在对WEB日志进行安全分析时,可以按照下面两种思路展开,逐步深入,还原整个攻击过程。

1、首先确定受到攻击、入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击过程。2、一般攻击者在入侵网站后,通常会上传一个后门文件,以方便自己以后访问。我们也可以以该文件为线索来展开分析。

页: [1]
查看完整版本: 网络入侵分析与排查