应急响应之Windows、Linux

Windows下系统应急: 首先 断网~

一、检测阶段

1. 备份Web页面

2. 查找隐藏账户

3. 查找可疑进程

4. 查杀Webshell

5. 分析中间件日志

二、抑制阶段

1.删除非法修改的信息等

2.删除非法添加的账户

3.关闭异常进程

4.删除后门文件

5.根除阶段

(1)修改服务器超级管理员账户密码

(2)修改网站后台管理员账户密码

(3)修复漏洞

(4)更改后台地址

6.接入网络恢复访问

Linux下系统应急: 首先 断网~

一、 检测阶段

1. 备份web页面

2. 查找隐藏账户

3. 查找可疑进程

4. 查看历史命令

5. 查看登录信息

6. 检查内核后门

7. 查找Webshell

(1) docker cp /home/test/桌面/hm xxx:/var/www./hm scan /var/www 通过查杀没有发现Webshell

(2)find ./ -ctime -1 -name “*.php” 查找一天内修改过的php文件

8. 分析中间件日志在 /etc/httpd/conf目录找到access_log文件查看日志，发现黑客执行的eval命令，判断某CMS是在search.php上有命令执行漏洞，黑客直接通过该漏洞执行了一句话木马

二、抑制阶段

1.删除webshell

三、根除阶段

1.更改服务器管理员账户密码

2.更改网站后台账户密码

3.修复漏洞

4.更改网站后台地址

5.重新接入网络