Windows与Linux系统入侵排查完全指南

一、应急响应基本思路流程

收集信息：收集客户信息和中毒主机信息，包括样本
判断类型：判断安全事件类型（勒索、挖矿、断网、DoS等）
抑制范围：隔离受害主机防止扩散
深入分析：日志分析、进程分析、启动项分析、样本分析
清理处置：杀进程、删文件、打补丁、删异常服务、清后门账号
产出报告：整理完整安全事件报告

二、常见应急响应事件分类

Web入侵：网页挂马、主页篡改、Webshell
系统入侵：病毒木马、勒索软件、远控后门
网络攻击：DDOS攻击、DNS劫持、ARP欺骗

三、Windows入侵排查

3.1 检查系统账号安全

检查弱口令和开放端口
- 检查远程管理端口是否对公网开放
- 咨询服务器管理员确认
检查可疑/新增账号
- 命令：lusrmgr.msc
- 查看Administrators组中的新增账户
检查隐藏/克隆账号
- 命令：net user 查看陌生用户
- 注册表路径：HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/
- 使用D盾检测克隆账号
检查异常登录
- 命令：eventvwr.msc 查看安全日志
- 分析管理员登录时间和用户名

3.2 检查异常端口和进程

检查端口连接
- 命令：netstat -ano 查看ESTABLISHED连接
- 使用tasklist | findstr "PID" 定位进程
检查进程
- 命令：msinfo32 → 软件环境→正在运行任务
- 使用D盾查看无签名信息的进程
- 使用Process Explorer工具排查
- 检查可疑进程及其子进程

3.3 检查启动项、计划任务、服务

检查启动项
- 命令：msconfig → 启动
- 使用Everything查找删除相关文件
- 检查注册表，使用uninstall tool删除
检查计划任务
- 控制面板→任务计划
- 命令：at 检查计划任务
检查服务
- 命令：services.msc
- 注意异常服务状态和启动类型

3.4 检查系统相关信息

系统版本和补丁
- 命令：systeminfo
查找可疑目录和文件
- 用户目录检查：
  - Win2003: C:\Documents and Settings
  - Win2008R2: C:\Users\
- 命令：%UserProfile%\Recent 查看最近打开文件
- 按时间排序查找可疑文件
- 检查回收站、浏览器下载目录和历史记录
- 注意修改时间早于创建时间的文件
查找同一时间创建的文件
- 使用Registry Workshop搜索注册表
- 使用文件搜索功能指定修改时间

3.5 自动化查杀

病毒查杀
- 使用安全软件全盘扫描
Webshell查杀
- 使用两款工具同时查杀（如D盾和河马）

3.6 日志分析

系统日志
- 使用Log Parser分析
Web日志
- 打包中间件日志到本地
- 工具：Windows用EmEditor，Linux用Shell命令

四、Linux入侵排查

4.1 账号安全

关键文件
- /etc/passwd：用户信息
- /etc/shadow：影子文件
常用命令
- who：当前登录用户
- w：系统信息
- uptime：登录时间和负载
入侵排查
- 查询特权用户：awk -F: '$3==0{print $1}' /etc/passwd
- 查询可远程登录账号：awk '/\$1|\$6/{print $1}' /etc/shadow
- 检查sudo权限：more /etc/sudoers | grep -v "grep" "ALL=(ALL)"
- 禁用/删除账号：
  - usermod -L user 禁用
  - userdel user 删除
  - userdel -r user 删除用户及home目录

4.2 历史命令

history：查看历史命令
history -c：清除历史

4.3 检查异常端口

netstat -antlp|more
查看进程路径：ls -l /proc/$PID/exe 或 file /proc/$PID/exe

4.4 检查异常进程

ps aux | grep pid

4.5 检查启动项

关键目录：
- /etc/rc.local
- /etc/rc.d/rc[0~6].d
- ls -l /etc/rc.d/rc3.d/

4.6 检查定时任务

基本命令
- crontab -l：列出任务
- crontab -r：删除所有任务
- crontab -e：编辑任务
anacron使用
- 编辑/etc/anacrontab
- 示例：@daily 10 example.daily /bin/bash /home/backup.sh
入侵排查目录
- /var/spool/cron/*
- /etc/crontab
- /etc/cron.d/*
- /etc/cron.daily/*, /etc/cron.hourly/*, /etc/cron.monthly/*, /etc/cron.weekly/
- /etc/anacrontab
- /var/spool/anacron/*

4.7 检查服务

查询已安装服务：chkconfig --list
查看当前服务：ps aux | grep crond

4.8 检查异常文件

检查敏感目录
- /tmp及隐藏文件夹
按时间查找文件
- find /opt -iname "*" -atime 1 -type f
查看文件时间
- stat命令查看创建修改时间

4.9 检查系统日志

默认位置：/var/log/
查看配置：more /etc/rsyslog.conf

五、工具篇

5.1 Rootkit查杀

chkrootkit：http://www.chkrootkit.org
rkhunter：http://rkhunter.sourceforge.net

5.2 病毒查杀

ClamAV：http://www.clamav.net/download.html

5.3 Webshell查杀

河马webshell查杀：http://www.shellpub.com
深信服工具：http://edr.sangfor.com.cn/backdoor_detection.html

5.4 RPM检查

rpm -Va > rpm.log：检查系统完整性

5.5 常见Webshell查杀工具

D盾_Web查杀
百度WEBDIR+：https://scanner.baidu.com/
河马：https://www.shellpub.com/
Web Shell Detector：http://www.shelldetector.com/
在线工具：http://tools.bugscaner.com/killwebshell/

六、代码后门检测方法

6.1 文件完整性验证

MD5校验
- Windows：CertUtil -hashfile 文件路径 MD5
diff命令
- diff -c -a -r dir1 dir2
- 快速比较：diff -q file1 file2
版本控制工具
- Git查看提交历史
- 使用git diff比较文件差异

Windows与Linux系统入侵排查完全指南一、应急响应基本思路流程收集信息：收集客户信息和中毒主机信息，包括样本判断类型：判断安全事件类型（勒索、挖矿、断网、DoS等）抑制范围：隔离受害主机防止扩散深入分析：日志分析、进程分析、启动项分析、样本分析清理处置：杀进程、删文件、打补丁、删异常服务、清后门账号产出报告：整理完整安全事件报告二、常见应急响应事件分类 Web入侵：网页挂马、主页篡改、Webshell 系统入侵：病毒木马、勒索软件、远控后门网络攻击：DDOS攻击、DNS劫持、ARP欺骗三、Windows入侵排查 3.1 检查系统账号安全检查弱口令和开放端口检查远程管理端口是否对公网开放咨询服务器管理员确认检查可疑/新增账号命令： lusrmgr.msc 查看Administrators组中的新增账户检查隐藏/克隆账号命令： net user 查看陌生用户注册表路径： HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/ 使用D盾检测克隆账号检查异常登录命令： eventvwr.msc 查看安全日志分析管理员登录时间和用户名 3.2 检查异常端口和进程检查端口连接命令： netstat -ano 查看ESTABLISHED连接使用 tasklist | findstr "PID" 定位进程检查进程命令： msinfo32 → 软件环境→正在运行任务使用D盾查看无签名信息的进程使用Process Explorer工具排查检查可疑进程及其子进程 3.3 检查启动项、计划任务、服务检查启动项命令： msconfig → 启动使用Everything查找删除相关文件检查注册表，使用uninstall tool删除检查计划任务控制面板→任务计划命令： at 检查计划任务检查服务命令： services.msc 注意异常服务状态和启动类型 3.4 检查系统相关信息系统版本和补丁命令： systeminfo 查找可疑目录和文件用户目录检查： Win2003: C:\Documents and Settings Win2008R2: C:\Users\ 命令： %UserProfile%\Recent 查看最近打开文件按时间排序查找可疑文件检查回收站、浏览器下载目录和历史记录注意修改时间早于创建时间的文件查找同一时间创建的文件使用Registry Workshop搜索注册表使用文件搜索功能指定修改时间 3.5 自动化查杀病毒查杀使用安全软件全盘扫描 Webshell查杀使用两款工具同时查杀（如D盾和河马） 3.6 日志分析系统日志使用Log Parser分析 Web日志打包中间件日志到本地工具：Windows用EmEditor，Linux用Shell命令四、Linux入侵排查 4.1 账号安全关键文件 /etc/passwd ：用户信息 /etc/shadow ：影子文件常用命令 who ：当前登录用户 w ：系统信息 uptime ：登录时间和负载入侵排查查询特权用户： awk -F: '$3==0{print $1}' /etc/passwd 查询可远程登录账号： awk '/\$1|\$6/{print $1}' /etc/shadow 检查sudo权限： more /etc/sudoers | grep -v "grep" "ALL=(ALL)" 禁用/删除账号： usermod -L user 禁用 userdel user 删除 userdel -r user 删除用户及home目录 4.2 历史命令 history ：查看历史命令 history -c ：清除历史 4.3 检查异常端口 netstat -antlp|more 查看进程路径： ls -l /proc/$PID/exe 或 file /proc/$PID/exe 4.4 检查异常进程 ps aux | grep pid 4.5 检查启动项关键目录： /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d/ 4.6 检查定时任务基本命令 crontab -l ：列出任务 crontab -r ：删除所有任务 crontab -e ：编辑任务 anacron使用编辑 /etc/anacrontab 示例： @daily 10 example.daily /bin/bash /home/backup.sh 入侵排查目录 /var/spool/cron/* /etc/crontab /etc/cron.d/* /etc/cron.daily/* , /etc/cron.hourly/* , /etc/cron.monthly/* , /etc/cron.weekly/ /etc/anacrontab /var/spool/anacron/* 4.7 检查服务查询已安装服务： chkconfig --list 查看当前服务： ps aux | grep crond 4.8 检查异常文件检查敏感目录 /tmp 及隐藏文件夹按时间查找文件 find /opt -iname "*" -atime 1 -type f 查看文件时间 stat 命令查看创建修改时间 4.9 检查系统日志默认位置： /var/log/ 查看配置： more /etc/rsyslog.conf 五、工具篇 5.1 Rootkit查杀 chkrootkit：http://www.chkrootkit.org rkhunter：http://rkhunter.sourceforge.net 5.2 病毒查杀 ClamAV：http://www.clamav.net/download.html 5.3 Webshell查杀河马webshell查杀：http://www.shellpub.com 深信服工具：http://edr.sangfor.com.cn/backdoor_ detection.html 5.4 RPM检查 rpm -Va > rpm.log ：检查系统完整性 5.5 常见Webshell查杀工具 D盾_ Web查杀百度WEBDIR+：https://scanner.baidu.com/ 河马：https://www.shellpub.com/ Web Shell Detector：http://www.shelldetector.com/ 在线工具：http://tools.bugscaner.com/killwebshell/ 六、代码后门检测方法 6.1 文件完整性验证 MD5校验 Windows： CertUtil -hashfile 文件路径 MD5 diff命令 diff -c -a -r dir1 dir2 快速比较： diff -q file1 file2 版本控制工具 Git查看提交历史使用 git diff 比较文件差异