常见数据库的端口,Vnc的端口等
参考答案地址:常见数据库默认端口号_数据库端口-CSDN博客
MySQL 3306
Oracle 1521
DB2 5000
PostgreSQL 5432
MongoDB 27017
Redis 6379
SQL Server 1433
vnc的端口是:5900
推荐一个很好的护网笔记:
基础学习 · 2022护网笔记 · 看云
Windows应急响应的流程和命令
参考
应急响应-Windows-进程排查_windows危险进程pid-CSDN博客
用户排查
net user查看所有用户 如果有$大概率是隐藏的影子用户 攻击者留下的
powershell下 wmic useraccount get name,SID查看用户
注册表下\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下的Names可以看到所有用户 包括影子用户
进程排查
1.任务管理器里勾选进程名称和命令行 可以看到进程所在的文件地址
2.对于可能恶意的dll进程 可以用tasklist /m查看
对于特定dll可以用 tasklist /m 名称
tasklist /svc可以显示每个进程的服务对应情况
netstat -ano | findstr "ESTABLISHED" #可以在所有的网络连接中查看进程PID建立的连接
通过netstat定位出pid后 可以用 tasklist | find "3389" 来查看相应pid具体的应用程序
管理员权限用 netstat -anb 快速定位所有的端口对应的应用程序
启动项排查
cmd下msconfig即可看到所有的启动项
任务管理器里也可以看到启动项
计划任务排查
cmd下用schtasks可以查看
服务排查
services.msc即可
日志排查
win+R下的eventvwr
位置C:\Windows\System32\winevt\Logs
windows安全事件的id
4624登陆成功 4625无法登录 4776 ----- 域控制器尝试验证帐户的凭据
其它id 运维系列:windows安全事件id汇总_事件id4611-CSDN博客
排查临时文件目录
`
C:\Users\Administrators\Local Settings\Temp``
C:\Documents and Settings\Administrators\Local Settings\Temp``
C:\Users\Administrator\App Data\Local``
C:\Users\Administrator\App Data\Roaming`浏览器相关的:
`
C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files``
C:\Users\Administrator\AppData\Local\Microsoft\Windows\Histroy``
C:\Users\Administrator\AppData\Local\Microsoft\Windows\Caches`
Linux应急响应的流程
主机排查
lscpu查看主机信息
uname -a查看系统信息
cat /proc/version查看系统信息
用户信息排查
cat /etc/passwd
cat /etc/passwd|grep '/bin/bash' 查看可登陆的用户
lastlog 查看用户最近一次登陆的时间信息
lastb ssh登录失败的记录
last 查看系统所有的登陆记录信息等
linux的日志在 /var/log中
who或者w 命令查询utmp文件并报告当前登录的每个用户
有关用户登录的信息记录在 utmp(/var/run/utmp)
登录进入和退出记录在文件wtmp中 wtmp(/var/log/wtmp)
btmp(/var/log/btmp)
查看所有用户最近登陆信息:last -f /var/log/wtmp
启动项排查
cat /etc/init.d/rc.local
计划任务排查
crontab -l
crontab -u root -l
ls /etc/cron*日志排查
/var/log/wtmp:记录登录进入、退出、数据交换、关机和重启,即last。
/var/log/cron:记录与定时任务相关的日志信息。
/var/log/messages:记录系统启动后的信息和错误日志。
/var/log/apache2/access.log:记录Apache的访问日志。
/var/log/auth.log:记录系统授权信息,包括用户登录和使用的权限机制等。
/var/log/userlog:记录所有等级用户信息的日志。
/var/log/xferlog(vsftpd.log):记录Linux FTP日志。
/var/log/lastlog:记录登录的用户,可以使用命令lastlog查看。
/var/log/secure:记录大多数应用输入的账号与密码,以及登录成功与否。
/var/log/faillog:记录登录系统不成功的账号信息。进程排查
主要使用ps -ef 来查看所有进程
或者ps -aux
可以查看指定进程 ps -ef | grep tomcat
- -e 显示所有进程
- -f 显示所有字段(UID,PPIP,C,STIME字段)
- -a 显示一个终端的所有进程
- -u 显示当前用户进程和内存使用情况
- -x 显示没有控制终端的进程
- –sort 按照列名排序
Webshell排查思路
参考:应急响应-主机后门webshell的排查思路(webshell,启动项,隐藏账户,映像劫持,rootkit后门)_centos webshell排查-CSDN博客
排查外连状态,端口使用情况,后门的位置
外连排查:
pchunter或者火绒剑工具 定位木马位置 上传到微步等各种云沙箱进行文件扫描
netstat -anpt或者tasklist排查进程状态
pchunter查看进程,大多数木马文件在没有做屏蔽等措施,在厂商归属,指纹信息会显示异常,或者无任何厂商归属信息,可以借助为参考
用户主机被上传了webshell的排查
- 通过pchunter或火绒剑检查外连情况 及时切断连接并取证交由溯源
- 及时隔离主机
- 定位事件范围,查看文件 webshell 文件的创建时间,对 webshell 取证样本
- 通过创建时间结合日志分析可疑行为,以及启动用户的其他进程确定漏洞
- 清除 webshell 及残留文件,修复漏洞
webshell控制工具的流量特征
参考:
常
发布者:admin,转转请注明出处:http://www.yc00.com/web/1754600955a5180697.html
评论列表(0条)