网站入侵应急响应指南(Windows篇)

转载自www.t00ls.net 雨水

上次分享了Linux下应急响应的一些思路,小菜这次分享一些Windows下的应急思路,大牛勿喷。

(1)查找隐藏用户

计算机->右键选择管理->本地用户和组->用户,查看是否存在$结尾的隐藏用户

1

(2)查找克隆账户

LP_Check工具检查

2

(3)检查启动项

使用Autoruns工具查看启动项

3

有的后门不能通过查看启动项来发现,这时候需要其他方式查看,例如前几天乌云大会上分享的一个后门技术,通过Bitsadmin,就不能通过启动项发现

4

这时候需要通过如下命令查找后门

bitsadmin /list/allusers/verbose

(4)检查恶意代码和进程

可以使用如下工具检查

Filemon:查看进程和文件对应

Regmon:查看进程和注册表对应

PCHunter:可查看硬盘上隐藏的文件

Rootkit Unhooker:Hook检测

Rootkit Revelaer:rootkit检测

IceSword:隐藏进程检测

(5)日志查看

查看安全性日志,是否存在大量审核失败的日志(暴力破解)若该帐号本身已被删除,则“用户”处将不会显示帐号名,而是显示一串帐号的SID值。

5

查看安全性日志,特殊事件,比如说648特殊事件为创建账户事件

6

这里列举一些有关检测时常见的事件ID

事件ID:517     审核日志已经清除

事件ID:528     登陆成功,可以显示客户端连接ip地址

事件ID:529     登录失败。试图使用未知的用户名或已知用户名但错误密码进行登录

事件ID:683     会话从 winstation 中断连接,可以查看客户端计算机名

事件ID:624     创建了用户帐户

事件ID:626     启用了用户帐户

事件ID:627     用户密码已更改

事件ID:628     设置了用户密码

事件ID:630     用户帐户已删除。

事件ID:632:   成员已添加至全局组。

事件ID:635:   已新建本地组。

事件ID:643:   域策略已修改。

(6)查看目录文件

攻击者可能会在服务器上留下目录文件等痕迹

C:\Users\XXX\Desktop 新建用户的桌面,可能会有残留文件

(7)查看杀毒软件日志

木马查杀日志

7

ARP攻击日志

8

网站入侵应急响应指南(Linux篇)

转载自www.t00ls.net 雨水

最近挂黑页的网站越来越多,应急响应的活就多了起来,小菜分享一些遇到的应急响应思路,大牛勿喷。
这次主要阐述Linux服务器应急响应,后续会有Windows篇

需要在服务器上查看的内容:

(1)先从脚本入手,查看服务器是否存在网页木马,可以将网站打包下载,使用D盾等webshell查杀工具扫描,也可以搜索关键字手动查杀木马
linux搜索webshell常用命令:
find  /site/* -type f -name “*.jsp”  |xargs grep “exec(”
在根目录下搜索,命令的意思是,搜索/site/目录下所有后缀为.jsp的文件,查看内容是否有”exec(“,”exec(“是jsp函数,很多一句话木马和大马都有这个函数
其他脚本的网站类似:
find /site/* -type f -name “*.php” |xargs grep “eval(”
find /site/* -type f -name “*.asp” |xargs grep “execute(”
find /site/* -type f -name “*.aspx” |xargs grep “eval(”

如果木马做了免杀处理,可以查看是否使用加密函数
find /site/* -type f -name “*.php” |xargs grep “base64_decode”
查看是否做了拼接处理
find /site/* -type f -name “*.php” |xargs grep “@$”

对搜索到的内容,手动查看是否是木马,可以在本地打开脚本文件,查看网页生成时间等。

(2)查杀系统后门
1、chkrootkit
下载:wget –c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
编译:tar xvzf chkrootkit.tar.gz
cd chkrootkit-xx
    make sense
开始检测:./chkrootkit -q
如果出现INFECTED,说明检测出系统后门
可以直接使用./chkrootkit -q | grep INFECTED命令检测并筛选出存在INFECTED的内容
2、Rootkit Hunter
安装Rootkit Hunter:
tar xvzf rkhunter-xx.tar.gz
cd rkhunter-xx
./install.sh –layout default –install
开始检测:
rkhunter -check
3、手工查杀
查看系统进程,查找 login -h XXX.XXX.XXX.XXX的字样。
备份linux系统命令,应急时,使用命令md5sum对现有文件做作校验,与以前的值做比较。

(3)查看系统文件和日志文件

linux用户信息:
/var/log/messages:记录整体系统信息,其中也记录某个用户切换到root权限的日志。
/var/log/secure:记录验证和授权方面信息。例如sshd会将所有信息记录(其中包括失败登录)在这里。
/var/log/lastlog:记录所有用户的最近信息。二进制文件,因此需要用lastlog命令查看内容。
/var/log/btmp:记录所有失败登录信息。使用last命令可查看btmp文件。例如“last -f /var/log/btmp | more”。
/var/log/maillog:记录来着系统运行电子邮件服务器的日志信息。例如sendmail日志信息就送到这个文件中。
/var/log/mail/:记录包含邮件服务器的额外日志。
/var/log/wtmp或/var/log/utmp:记录登录信息。二进制文件,须用last来读取内容
/etc/passwd:记录用户信息,查看是否存在可疑账号。
/etc/shadow:记录用户密码,查看是否存在可疑账号。
.bash_history:shell日志,查看之前使用过的命令。
/var/log/cron:记录计划任务。

linux查看当前状态命令:
users:显示当前登陆用户信息。
Who:显示谁正在使用系统本地节点的信息。
Last:显示系统曾经被登陆的用户和TTYS。
w:查看谁登陆到系统中,且在做什么操作。
netstat -anp:查看端口对应的进程关系。
lsof -p PID:查看进程对应的文件,配合netstat -anp查看端口进程文件之间的关系,可以找到可以端口进程对应的文件。
lsof -i:查看实时的进程、服务与端口信息。
ps -aux:查看进程。
chkconfig -list:查看服务启动信息。
find / -perm -004000 -type f:输出所有设置了SUID的文件。
rpm -Va:列举全部软件包的变化情况。

web日志分析:
日志文件位置:
Apache日志位置配置在httpd.conf中。
IIS日志默认存放在%systemroot%\system32\LogFiles\W3SVC目录,如果没有,可以通过配置文件查找,WEB站点—属性—网站—W3C扩展日志文件格式—属性—日志文件目录
日志分析可以通过grep强大的搜索功能,通过管理员确定被入侵网站的拓扑位置,网站后台、FTP服务等限制访问的地址,入侵时间,缩短日志搜索范围
日志分析示例:
1、注入漏洞记录
grep -i select%20 *.log  | grep 500 | grep -i \.php  查找后缀为”.log” 文件,搜索关键字为”select%20″,筛选存在”500″的行
grep -i sqlmap *.log sqlmap默认User-Agent是sqlmap/1.0-dev-xxxxxxx (http://sqlmap.org),查看存在sqlmap的行,可以发现sqlmap拖库的痕迹。
2、跨站漏洞记录
grep -i “script” *.log 查找存在script的行。
3、扫描器扫描
grep -i acunetix *.log AWVS扫描时,会发送大量含有“acunetix”的数据包。
4、搜索特定时间的日志
grep \[07/Jul/2016:24:00:* *.log 可以结合入侵时间搜索,文件修改时间不可作为依据,菜刀上就可以修改文件时间属性。
5、搜索特定IP地址的日志
grep ^192.168.1.* *.log 搜索包含“192.168.1.”字符串开头的行
grep -v ^192.168.10.* *.log 不搜索包含“192.168.10.”字符串开头的行
可以结合网站、网络安全策略搜索能访问网站后台、FTP服务等的IP地址。

网站设置备案号

网站设置备案号有很多种方法,这里分享一段代码,插入到模板或者主页文件中就可以使用

<p><div style=”text-align:center;”><a href=http://www.miitbeian.gov.cn/><font color=颜色>您的备案号</font></a></div></p>

修改斜体字部分就行了,满足网站下方,居中,链接到备案网站,以后使用其他模板或者是使用其他内容发布系统,都可以直接插入使用,小而美。

WordPress打开全部设置

最新版本的WordPress(4.5.3)设置的时候有很多麻烦,小弟新手建站,走了不少弯路,收集一些经验,分享给大家:

WordPress打开全部设置

4.5.3版本的WordPress,常规设置选项,没有“保存更改”按钮,有一些设置无法保存

12

我们可以打开WordPress隐藏的“全部设置”:

在 当前主题的functions.php文件中添加如下代码

// 显示所有设置菜单

function all_settings_link() {

add_options_page(__(‘All Settings’), __(‘All Settings’), ‘administrator’, ‘options.php’);

}

add_action(‘admin_menu’, ‘all_settings_link’);

在后台,设置中,就能看到全部设置选项:

3

这样我们做的一些设置就能保存了