网络安全溯源指南v1.0

微信扫码，打开到小程序

寸光网络安全工作室 第 1 页 共 34 页 寸光网络安全工作室 商务合作（微信）：Signboards 网络安全溯源指南 V 1.0 2023 年 11 月 19 日 寸光网络安全工作室 第 2 页 共 34 页 目录 一、 window 系统溯源 .............................................................................................4 1、 检查系统账号安全............................................................................................. 4 1.1 查看服务器是否存在可疑账号、新增账号 .....................................................4 1.2 查看服务器是否存在隐藏账号、克隆账号.................................................... 4 1.3 查看 window 日志，检查登入时间，是否存在暴力破解等行为.......................5 2、 检查异常端口、进程..........................................................................................5 2.1 检查端口连接情况，查看是否有可疑 IP 外连。.............................................5 2.2 查看进程 ...................................................................................................... 6 3、 检查启动项、计划任务、服务............................................................................8 3.1 检查启动项...................................................................................................8 3.2 查看计划任务 ............................................................................................... 9 3.3 排查服务自启动............................................................................................9 4、 检查系统相关信息........................................................................................... 10 4.1 查看系统补丁信息 ...................................................................................... 10 4.2 查看近期创建修改的文件............................................................................10 二、 Linux 系统溯源 ...............................................................................................11 1、 系统排查......................................................................................................... 11 1.1 系统信息................................................................................................... 11 1.2 用户账号 .................................................................................................... 11 1.3 启动项........................................................................................................12 1.4 定时任务 .................................................................................................... 12 2、 服务排查......................................................................................................... 13 2.1 进程查看 .................................................................................................... 13 2.2 线程查看 .................................................................................................... 13 2.3 进程查杀 .................................................................................................... 13 2.4 调试分析 .................................................................................................... 14 2.5 查看服务 .................................................................................................... 14 3、 网络排查......................................................................................................... 14 3.1 分析可疑端口、可疑 IP、可疑 PID 及程序进程............................................14 4、 文件排查......................................................................................................... 15 4.1find 命令的使用........................................................................................... 15 4.2 敏感目录 .................................................................................................... 16 4.3 基于时间点查找..........................................................................................16 三、日志分析..........................................................................................................17 1、window 日志分析.............................................................................................. 17 1.1 安全日志分析 .............................................................................................17 2、Linux 日志分析 ..................................................................................................22 2.1 分析 secure 日志 ..........................................................................................23 2.2 分析应用日志 ............................................................................................. 23 四、文件恢复..........................................................................................................24 寸光网络安全工作室 第 3 页 共 34 页 1、 Window...........................................................................................................24 1.1WinFR........................................................................................................ 24 1.2Windows File Recovery...................................................................................24 2、 Linux...............................................................................................................25 2.1losf 命令 ...................................................................................................... 25 2.2extundelete................................................................................................... 26 2.3testdisk.........................................................................................................27 五、溯源到人..........................................................................................................32 1、IP 溯源 .............................................................................................................. 32 2、ID 溯源 ..............................................................................................................33 3、手机号溯源 ........................................................................................................33 4、EMail 溯源 .........................................................................................................33 5、域名溯源........................................................................................................... 33 6、木马分析（云沙箱） ..........................................................................................34 寸光网络安全工作室 第 4 页 共 34 页 一、window 系统溯源 1、检查系统账号安全 1.1 查看服务器是否存在可疑账号、新增账号 打开 cmd 窗口，输入 lusrmgr.msc 命令，查看是否有新增/可疑的账号，如有管理员 群组的（Administrators）里的新增账户，如有，请立即禁用或删除掉。 lusrmgr.exe（无法找到注册表方式建立的用户） net user（无法列出$用户） HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\（查看注册表最准确） 1.2 查看服务器是否存在隐藏账号、克隆账号 使用 D 盾_web 查杀工具，集成了对克隆账号检测的功能。 寸光网络安全工作室 第 5 页 共 34 页 1.3 查看 window 日志，检查登入时间，是否存在暴力破解等行为 日志位置： Windows 2000 / Server2003 / Windows XP： %SystemRoot%\System32\Winevt\Logs\*.evtx Windows Vista / 7 / 10 / Server2008 及以上版本： %SystemRoot%\System32\Config\*.evtx Windows 事件日志中，它记录为事件 ID=4625 表示失败，记录为事件 ID=4624 表示 成功。 命令行提取： wevtutil qe security /q:"*[EventData[Data[@Name='LogonType']='10'] and System[(EventID=4624)]]" /f:text /rd:true /c:10 2、检查异常端口、进程 2.1 检查端口连接情况，查看是否有可疑 IP 外连。 重点观察状态是 ESTABLISHED 的可疑 IP 寸光网络安全工作室 第 6 页 共 34 页 netstat -ano 查看目前的网络连接 重点看状态是 ESTABLISHED 的端口：netstat -ano | findstr 'estab' 再通过 tasklist 命令进行进程定位 tasklist | findstr “PID” 2.2 查看进程 可以重点观察以下内容： 1、CPU 或内存资源占用长时间过高的进程 2、没有签名验证信息的进程 3、进程的路径是否合法、常规 4、没有描述信息的进程 显示 进程--PID--服务：​ tasklist /svc 开始--运行--输入 msinfo32，依次点击“软件环境→正在运行任务”就可以 查看到进程的详细信息，比如进程路径、进程 ID、文件创建日期、启动时间等。 寸光网络安全工作室 第 7 页 共 34 页 通过微软官方提供的 Process Explorer 等工具进行排查 寸光网络安全工作室 第 8 页 共 34 页 3、检查启动项、计划任务、服务 3.1 检查启动项 3.1.1 单击【开始】>【所有程序】>【启动】，默认情况下此目录在是一个空目录，确 认是否有非业务程序在该目录下。 3.1.2 单击开始菜单 >【运行】(快捷键 win+R)，输入 msconfig，查看是否存在命名异 常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。 3.1.3 桌面打开运行（可使用快捷键 win+R），输入 gpedit.msc 查看组策略 寸光网络安全工作室 第 9 页 共 34 页 3.2 查看计划任务 在控制面板里面的系统与安全中查看计划任务属性。 3.3 排查服务自启动 在桌面打开运行（可使用快捷键 win+R），输入 services.msc 、 寸光网络安全工作室 第 10 页 共 34 页 4、检查系统相关信息 4.1 查看系统补丁信息 在桌面打开运行（可使用快捷键 win+R）输入 systeminfo 4.2 查看近期创建修改的文件 利用计算机自带文件搜索功能，指定修改时间进行搜索。 利用 Registry Workshop 注册表编辑器的搜索功能，可以找到最后写入时间 区间的文件。 单击【开始】>【运行】，输入%UserProfile%\Recent，分析最近打开分析可 疑文件 寸光网络安全工作室 第 11 页 共 34 页 二、Linux 系统溯源 Linux 入侵溯源分析分系统、服务、文件、网络四个部分 1、系统排查 1.1 系统信息 $ lscpu #查看 CPU 信息 $ uname -a #操作系统信息 $ cat /proc/version #系统版本信息 $ cat /etc/redhat-release #查看系统发行版 $ lsmod #查看模块信息 $ lsblk #列出块设备信息 $ ifconfig eth0 | grep -w inet #显示网卡 IP 信息 $ curl cip.cc #查看主机公网 IP 信息 $ hostname #查看系统主机名称 $ cat /