Linux & Windows 应急响应与案例分析

一、Linux 应急响应

1. 文件排查

1.1 文件查找命令

ls -alt # 查找72小时内新增的文件
find / -ctime -2 # 查找72小时内新增的文件
find / *.jsp -perm 4777 # 查找777权限的文件

1.2 关键目录

• /var/run/utmp：当前登录用户信息
• /etc/passwd：用户列表
• /tmp：临时目录
• /usr/bin、/usr/sbin：命令目录
• 隐藏文件：以.开头的文件

2. 日志分析

2.1 重要日志文件

• /var/log/messages：整体系统信息
• /var/log/auth.log：系统授权信息
• /var/log/secure：验证和授权信息
• /var/log/lastlog：用户最后登录信息
• /var/log/faillog：登录失败信息

2.2 日志分析命令

# 查看爆破主机的ROOT账号的IP
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort

# 查看登录成功的日期、用户名及IP
grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'

3. 用户排查

# 查看UID为0的帐号
awk -F: '{if($3==0)print $1}' /etc/passwd

# 查看用户登录信息
last
lastb
uptime

4. 进程排查

lsof # 查看当前全部进程
lsof -i:1677 # 查看指定端口对应的程序
ps -aux # 查看进程信息
strace -f -p 1234 # 跟踪分析指定进程

5. 端口排查

netstat -anpt # 查看网络连接状态

6. 自启动项排查

# 检查启动项
ls -alt /etc/init.d
chkconfig --list | grep "3:on|5:on"

7. 计划任务排查

crontab -l # 查看当前用户计划任务
ls /etc/cron.* # 查看系统计划任务

8. 系统信息排查

echo $PATH # 查看环境变量
stat filename # 查看文件详细信息
./rpm -Va > rpm.log # 检查软件包完整性

二、Windows 应急响应

1. 文件排查

1.1 关键目录

• C:\Documents and Settings\Administrator\Recent：最近使用的文件
• %UserProfile%\Recent：当前用户最近使用的文件
• C:\Windows\System32\LogFiles：FTP和HTTPD日志

2. 日志分析

2.1 事件查看器

eventvwr.msc

2.2 日志分析命令

# 登录成功的所有事件
LogParser.exe -i:EVT "SELECT * FROM c:\Security.evtx where EventID=4624"

# 系统历史开关机记录
LogParser.exe -i:EVT "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"

3. 账号排查

3.1 账号管理

lusrmgr.msc # 查看账户变化
net user # 列出当前登录账户
wmic UserAccount get # 列出所有系统账户

3.2 隐藏/克隆账户

# 隐藏账户
net user username /active:no

# 克隆账户
net user newusername /add
net localgroup administrators newusername /add

4. 进程排查

tasklist /svc # 查看进程及关联服务
netstat -ano # 查看网络连接和进程ID
wmic process get caption,commandline /value # 获取进程详细信息
msinfo32 # 查看系统信息

5. 端口排查

netstat -ano # 查看端口和进程对应关系

6. 自启动项排查

• 注册表启动项：
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
• msconfig 启动选项卡
• gpedit.msc 组策略编辑器

7. 计划任务排查

# 计划任务目录
C:\Windows\System32\Tasks\
C:\Windows\SysWOW64\Tasks\
C:\Windows\tasks\

# 计划任务命令
schtasks
taskschd.msc
at

三、实际案例分析

案例1：挖矿木马处置

症状：

• 服务器运行速度变慢
• CPU占用率长时间保持100%
• 发现异常进程如alg.exe、splwow64.exe

分析步骤：

1. 使用top或tasklist查看高CPU占用进程
2. 使用lsof或netstat查看异常网络连接
3. 检查计划任务和启动项
4. 分析进程文件路径和创建时间
5. 检查系统日志和安全日志

处置措施：

1. 结束恶意进程
2. 删除恶意文件和启动项
3. 修改系统密码
4. 更新系统补丁
5. 检查并修复安全漏洞

案例2：SSH后门检测

检测方法：

1. 检查SSH版本是否异常

ssh -V

2. 检查SSH配置文件和二进制文件时间

stat /usr/sbin/sshd

3. 使用strings检查SSH二进制文件

strings /usr/sbin/sshd | egrep '[1-9]{1,3}.[1-9]{1,3}.'

4. 使用strace监控SSH进程

strace -o aa -ff -p [sshd_pid]

四、应急响应处置建议

1. 临时处置措施

• 立即隔离被感染主机
• 禁用所有网络连接
• 禁止使用U盘、移动硬盘等设备
• 备份重要数据

2. 防御措施

1. 安装杀毒软件并进行全盘扫描
2. 更新系统补丁
3. 制定严格的口令策略
4. 限制不必要的网络访问
5. 定期备份日志和重要数据
6. 加强日常安全巡查

3. 后续加固

1. 对系统进行全面安全评估
2. 修复发现的安全漏洞
3. 实施最小权限原则
4. 建立安全监控机制
5. 制定应急响应预案

通过以上系统化的应急响应流程和方法，可以有效应对Linux和Windows系统中的安全事件，快速定位问题并采取相应措施，最大程度减少安全事件带来的损失。