重点文件分析

通过第一次定性分析后的结果,判断攻击类型所对应应重点分析排查点,尽快解决问题尽快恢复系统正常上线再进行全量分析。

Linux平台下应该额外注意点:

文件类:passwd文件,shadow文件,uid信息,ssh文件谨防SSH后门,host,rpm包(./rpm -Va > rpm.log).bash_history等。
日志类:message日志, cron日志,Shell日志,ecure日志,last日志
/var/log/secure,/ar/log/wtmp,var/log/message:jihu
/var/log/secure:记录登录系统存取数据的文件,例如pop3,ssh,telnet,ftp等都会记录在此.
/ar/log/wtmp:记录登录这的信息记录,被编码过,所以必须以last解析;
/var/log/message:jihu所有的开机系统发生的错误都会在此记录;
/var/log.boot.log:记录一些开机或者关机启动的一些服务显示的启动或者关闭的信息;
/var/log/maillog:记录邮件的存取和往来;
/var/log/cron:用来记录crontab这个服务的内容;
/var/log/httpd,
/var/log/mysqld.log等等文件,记录几个不同的网络服务的记录文件;
/var/log/acpid ,ACPI - Advanced Configuration and Power Interface,表示高级配置和电源管理接口。 后面的 d 表示 deamon 。 acpid 也就是 the ACPI event daemon 。 也就是 acpi 的消息进程。用来控制、获取、管理 acpi 的状态的服务程序。
/var/run/utmp 记录着现在登录的用户;
/var/log/lastlog 记录每个用户最后的登录信息;
/var/log/btmp 记录错误的登录尝试;
/var/log/dmesg内核日志;
/var/log/cpus CPU的处理信息;
/var/log/syslog 事件记录监控程序日志;
/var/log/auth.log 用户认证日志;
/var/log/daemon.log 系统进程日志;
/var/log/mail.err 邮件错误信息;
/var/log/mail.info 邮件信息;
/var/log/mail.warn 邮件警告信息;
/var/log/daemon.log 系统监控程序产生的信息;
/var/log/kern 内核产生的信息;
/var/log/lpr   行打印机假脱机系统产生的信息;
Access.log
Error.log

Windows平台下应该额外注意点:

文件类:本地用户和组,检查克隆用户(LP_Check.exe),Local Settings\History,\Local Settings\Temp,\Temporary Internet Files,host等。
日志类:应用程序日志,安全性日志,系统日志(eventvwr)。
Web服务器:
文件类:恶意木马,cmd,webshell等。
日志类:服务器日志等。
#关于服务器日志分析可以参考这篇文章https://xianzhi.aliyun.com/forum/read/1723.html

具体分析方法

①进程分析

Windows:Pchunter
Linux: Chkrootkit&Rkhunter
隐藏进程查看
ps -ef | awk '{print}' | sort -n | uniq >1
ls /proc | sort -n |uniq >2
diff 1 2

②后门分析

通过crontabl –l 查看当前的任务计划有哪些,是否有后门木马程序启动相关信息;
查看etc目录任务计划相关文件,ls /etc/cron* 查看linux 开机启动程序
rpm包检查
Webshell分析
工具:
chkrootkit  
Rkhunter
Hm

③内存分析

Volatility

④网络分析

Wireshark

⑤端口分析

netstat –antlp | more
lsof -i:3306(查看使用指定端口应用程序)
使用netstat –anp(Solaris使用netstat -an)命令查看当前开放的端口。
使用lsof –i(仅限Linux)显示进程和端口对应关系。

⑥服务分析

Rkhunter(linux)
sc query(windows)

⑦计划任务分析

schtasks命令(win)
Crontab(linux)

⑧其他关联度分析

对上所分析到的相关内容,通过逻辑关联到一起,对其中分析到的ip域名等信息综合性关联判断真实来源IP黑客路径等信息。

溯源分析

合理利用分析结果,对ip等指纹信息进行相关溯源,判断有可能被恶意下载读取文件的来源进行溯源。最好的办法是提前布置欺骗防御系统对黑客攻击资产进行路径记录对黑客画像更为精确。如果可以通过已有信息经过关联和逻辑精确定位到黑客个人,就可以保留好取证结果依法对其进行起诉。