blubiu

My Love

上网不网恋,简直浪费电.


(三)Windows安全应急--在应急响应中需要知道的信息


在网络安全事件发生后,一般是要去客户现场排查问题的,

那么要想解决问题,信息的完整性决定了这次任务的成败。。



1. 你需要知道的:

  1. 先让客户梳理一遍事情的起因经过结果

  2. 询问客户需要解决的问题

  3. 了解客户的网络环境(有拓扑图最好了)

  4. 了解系统环境(比如Linux系统还是Windows系统的服务器)

  5. 了解服务器所运行的服务是什么

  6. 服务是否有重要资料,资料是否外泄

  7. 是否有安全设备(比如网站防火墙,云waf等)

  8. 了解服务环境(使用什么语言开发的,开发框架是什么,开发商是哪个?)

  9. 在我们到现场之前,有没有其他安全厂商来过处理问题,或者客户自己有没有先行处理问题(如果有,那处理了什么东西?)

  10. 日志是否完整(网站访问日志,中间件日志,网站安全设备日志,系统安全日志等,日志时间多长)


PS:特殊说明

  1. 如果被攻击的服务器是在内网(外网不能直接访问),那么需要了解是否跟其他服务器有连接,如果有,那么也需要排查那台服务器

  2. 如果都没有外连情况,那么需要排查服务器是否安装有远程控制之类的软件了


2. 你需要解决的问题:

一般需要解决的问题如下:

  1. 攻击时间,结束时间(可以从日志上分析)

  2. 攻击路径(入侵利用的漏洞之类的)

  3. 木马样本取样

  4. 检查服务器是否被提权

  5. 检查是否还有隐藏后门,遗留文件等(可以从高危网站目录上查看,如upload等目录)

  6. 检查网站后台是否有可疑操作日志


PS:切记

  1. 让客户做好备份

  2. 不要随意增删改查文件,任何操作都需要询问客户同意之后进行

  3. 特别是删除文件的时候,让网站开发商确认文件是否为网站自身文件,如果不是,让网站开发商自行删除(可以指导他删,但一定是他自己来动手)

  4. 上传任何安全工具也要询问客户意见

  5. 如遇到安全工具不能运行,需要安装xx驱动等问题,那就使用其他安全工具,不要随意安装驱动,以免服务奔溃。。


后续遇到的问题也将持续补充。。