目录
溯源分析的目的
1、确定入侵的时间和途径
2、定位病毒/木马位置
3、确定攻击轨迹和危害
4、取样分析
5、病毒/木马清除
溯源分析的思路
围绕上述目的,可从系统、服务、文件、网络四个部分进行,每部分相互重叠、相互关联。
一:从系统层面确定大概的入侵时间,然后从服务角度确定入侵途径和入侵类型;攻击者通常利用系统或服务的缺陷入侵系统,实施进一步的攻击。
二:从文件和网络层面,确定影响范围和危害;攻击者最终目的是手机信息、破坏系统,如篡改配置文件,留下后门维持权限等。在此过程中需要与远程服务器通信,将收集的信息发送给远程服务器。或者接收远程服务器的进一步的攻击指示。
系统
补丁检测
理由:如果系统存在未打的重要补丁,攻击者遍可以利用漏洞进行攻击。
目的:确保系统补丁已经全部更新。
恶意用户排查
理由:攻击者为了保持对目标机器的控制权,在受害者服务器中添加新的用户。
目的:若新增了用户,根据新增时间推测出大致的入侵时间。
系统日志排查
理由:攻击事件都会在日志中留下记录。
目的:根据日志分析入侵时间,入侵轨迹。
服务
web服务漏洞检查
若仅对外开放web服务,基本可以确定是通过webshell入侵,需要找到相应的webshell、木马等文件,查看创建时间,确定入侵事件。
其他服务漏洞检查
如果机器上还运行着其他服务,检查服务软件版本确定是否存在漏洞,查看相关日志文件找到入侵的蛛丝马迹。
恶意进程排查
理由:只有新开一个进程才能实施攻击。
目的:根据恶意进程,定位病毒/木马的位置。下载样本到本地,取样分析,确定攻击轨迹和危害。杀死进程清理病毒。
检查启动项、计划任务、服务
(1)检查服务器是否有异常的启动项。
(2)检查计划任务。
文件
敏感目录排查
理由:黑客有可能将后门文件保存在隐蔽位置,病毒木马也可能临时释放一些文件在系统文件下,等等。
目的:定位病毒、木马、后门样本。
后门文件排查
理由:黑客为了保持权限,有可能会留下各种后门文件。
目的:查找后门文件。
病毒/木马检测
(1)木马危害
(2)病毒危害
(3)样本分析
网络
异常网络连接排查
理由:通常情况下,病毒、木马发送本机信息到远程服务器,或者从远程服务器下载其他病毒或木马进一步感染主机。
目的:查看网络连接,溯源分析攻击轨迹和危害。
异常流量分析
理由:病毒/木马发送本机信息到远程服务器,或者从远程服务器下载其他病毒或木马进一步感染主机。
目的:根据实时流量分析攻击轨迹和危害。
—摘录至《互联网安全建设从0到1》