中文字幕理论片,69视频免费在线观看,亚洲成人app,国产1级毛片,刘涛最大尺度戏视频,欧美亚洲美女视频,2021韩国美女仙女屋vip视频

目錄

• emergency-response-checklist

• 交換機(jī)負(fù)載過高（cpu100\x）

• 交換機(jī)排查常用命令

• 路由器常用命令

• misc

• 相關(guān)資料

• DDOS

• ARP欺騙

• DNS劫持

• HTTP劫持（內(nèi)容劫持）

• 參考資料

• 文件

• 日志

• 賬號(hào)

• 進(jìn)程

• 端口

• 自啟動(dòng)

• 計(jì)劃任務(wù)

• 注冊(cè)表

• 服務(wù)

• misc

• 文件

• 日志

• 用戶

• 進(jìn)程

• 端口

• 自啟動(dòng)

• 計(jì)劃任務(wù)

• misc

• 各中間件/服務(wù)器日志默認(rèn)存放位置

• webshell排查

• 數(shù)據(jù)庫排查

• IIS

• apache

• tomcat

• weblogic

• jboss

• mysql日志

• mssql日志

• 數(shù)據(jù)庫日志

• misc

• 應(yīng)急響應(yīng)類型

• 初步信息收集

• 整體分析流程

• 相關(guān)工具/資源

• 可疑域名后綴

• 常見動(dòng)態(tài)域名提供商

• misc

• 相關(guān)項(xiàng)目

• 目錄

• 前言

• 應(yīng)急響應(yīng)綜合

• web應(yīng)急響應(yīng)

• linux應(yīng)急響應(yīng)

• windows應(yīng)急響應(yīng)

• 網(wǎng)絡(luò)層應(yīng)急響應(yīng)

• 交換機(jī)/路由器應(yīng)急響應(yīng)

前言

本項(xiàng)目旨在為應(yīng)急響應(yīng)提供全方位輔助，以便快速解決問題。
結(jié)合自身經(jīng)驗(yàn)和網(wǎng)絡(luò)資料，形成checklist，期待大家提供更多技巧，共同完善本項(xiàng)目，歡迎issue/pr。

應(yīng)急響應(yīng)綜合

應(yīng)急響應(yīng)類型

web入侵：掛馬、網(wǎng)頁篡改（博彩/黑帽SEO等）、植入webshell，黑頁，暗鏈等
主機(jī)入侵：病毒木馬、勒索軟件、遠(yuǎn)控后門、系統(tǒng)異常、RDP爆破、SSH爆破、主機(jī)漏洞、數(shù)據(jù)庫入侵等
網(wǎng)絡(luò)攻擊：DDOS攻擊、DNS/HTTP劫持、ARP欺騙等
路由器/交換機(jī)異常：內(nèi)網(wǎng)病毒，配置錯(cuò)誤等

初步信息收集

客戶屬性：如名稱/區(qū)域/領(lǐng)域等
入侵范圍：如主機(jī)數(shù)/網(wǎng)段等
入侵現(xiàn)象：如cpu過高，勒索界面，異常網(wǎng)絡(luò)鏈接，安全設(shè)備告警等
客戶需求：是否要求溯源，是否要求協(xié)助修復(fù)等

相關(guān)工具/資源

應(yīng)急響應(yīng)資源匯總：
https://github.com/theLSA/hack-er-tools

可疑域名后綴

頂級(jí)域名 申請(qǐng)地區(qū)或機(jī)構(gòu) 為何重點(diǎn)關(guān)注
.ru 俄羅斯 俄羅斯盛產(chǎn)黑客
.ws 東薩摩亞 不知名國(guó)家，易申請(qǐng)，難追蹤注冊(cè)者
.cc 科科斯群島 不知名國(guó)家，易申請(qǐng)，難追蹤注冊(cè)者
.pw 帕勞 不知名國(guó)家，易申請(qǐng)，難追蹤注冊(cè)者
.bz 伯利茲 不知名國(guó)家，易申請(qǐng)，難追蹤注冊(cè)者
.su 蘇聯(lián) 前蘇聯(lián)雖然解體了，頂級(jí)域名還在使用，且多與黑產(chǎn)有關(guān)
.bw 伯茲瓦納 不知名國(guó)家，易申請(qǐng)，難追蹤注冊(cè)者
.gw 幾內(nèi)亞比紹 不知名國(guó)家，易申請(qǐng)，難追蹤注冊(cè)者
.ms 蒙塞拉特島 不知名國(guó)家，易申請(qǐng)，難追蹤注冊(cè)者
.mz 莫桑比克 不知名國(guó)家，易申請(qǐng)，難追蹤注冊(cè)者

常見動(dòng)態(tài)域名提供商

'f3322.net','3322.org','7766.org','8866.org', '9966.org','8800.org','2288.org','6600.org', 'f3322.org', 'ddns.net', 'xicp.net', 'vicp.net','wicp.net','oicp.net','xicp.net','vicp.cc','eicp.net','uicp.cn','51vip.biz','xicp.cn','uicp.net','vicp.hk','5166.info','coyo.eu','imblog.in','imzone.in','imshop.in','imbbs.in','imwork.net','iego.cn','vicp.co','iego.net','1366.co','1866.co','3utilities.com','bounceme.net','ddnsking.com','gotdns.ch','hopto.org','myftp.biz','myftp.org','myvnc.com','no-ip.biz','no-ip.info','no-ip.org','noip.me','redirectme.net','servebeer.com','serveblog.net','servecounterstrike.com','serveftp.com','servegame.com','servehalflife.com','servehttp.com','serveminecraft.net','servemp3.com','servepics.com','servequake.com','sytes.net','webhop.me','zapto.org','dynamic-dns.net','epac.to','longmusic.com','compress.to','wikaba.com','zzux.com','dumb1.com','1dumb.com','onedumb.com','wha.la','youdontcare.com','yourtrap.com','2waky.com','sexidude.com','mefound.com','organiccrap.com','toythieves.com','justdied.com','jungleheart.com','mrbasic.com','mrbonus.com','x24hr.com','dns04.com','dns05.com','zyns.com','my03.com','fartit.com','itemdb.com','instanthq.com','xxuz.com','jkub.com','itsaol.com','faqserv.com','jetos.com','qpoe.com','qhigh.com','vizvaz.com','mrface.com','isasecret.com','mrslove.com','otzo.com','sellclassics.com','americanunfinished.com','serveusers.com','serveuser.com','freetcp.com','ddns.info','ns01.info','ns02.info','myftp.info','mydad.info','mymom.info','mypicture.info','myz.info','squirly.info','toh.info','xxxy.info','freewww.info','freeddns.com','myddns.com','dynamicdns.biz','ns01.biz','ns02.biz','xxxy.biz','sexxxy.biz','freewww.biz','www1.biz','dhcp.biz','edns.biz','ftp1.biz','mywww.biz','gr8domain.biz','gr8name.biz','ftpserver.biz','wwwhost.biz','moneyhome.biz','port25.biz','esmtp.biz','sixth.biz','ninth.biz','got-game.org','bigmoney.biz','dns2.us','dns1.us','ns02.us','ns01.us','almostmy.com','ocry.com','ourhobby.com','pcanywhere.net','ygto.com','ddns.ms','ddns.us','gettrials.com','4mydomain.com','25u.com','4dq.com','4pu.com','3-a.net','dsmtp.com','mynumber.org','ns1.name','ns2.name','ns3.name','changeip.name','ddns.name','rebatesrule.net','ezua.com','sendsmtp.com','trickip.net','trickip.org','dnsrd.com','lflinkup.com','lflinkup.net','lflinkup.org','lflink.com','dns-dns.com','proxydns.com','myftp.name','dyndns.pro','changeip.net','mysecondarydns.com','changeip.org','dns-stuff.com','dynssl.com','mylftv.com','mynetav.net','mynetav.org','ikwb.com','acmetoy.com','ddns.mobi','dnset.com','authorizeddns.net','authorizeddns.org','authorizeddns.us','cleansite.biz'

misc

1）收集信息：操作系統(tǒng)版本，補(bǔ)丁，數(shù)據(jù)庫版本，中間件/服務(wù)器，網(wǎng)絡(luò)拓?fù)?，受害范圍，處置情況，提取日志（主機(jī)，安全設(shè)備，數(shù)據(jù)庫等）

2）務(wù)必親自求證，眼見為實(shí)耳聽為虛

相關(guān)項(xiàng)目

https://github.com/Bypass007/Emergency-Response-Notes

web應(yīng)急響應(yīng)

各中間件/服務(wù)器日志默認(rèn)存放位置

IIS

C:\WINDOWS\system32\LogFiles

apache

Linux：/usr/local/apache/logs/ Windows：apache/logs/

tomcat

conf/logging.properties

logs/catalina.xx.log logs/host-manager.xx.log logs/localhost.xx.log logs/manager.xx.log 主要記錄系統(tǒng)啟、關(guān)閉日志、管理日志和異常信息

weblogic

domain_name/servers/server_name/logs/ server_name.log：server啟停日志 access.log：安裝在該server之上的應(yīng)用http訪問日志

jboss

LOG4J配置默認(rèn)Deploy/conf/ 如jboss/server/default/conf/jboss-log4j.xml

webshell排查

1）整站打包用webshell掃描工具掃

2） find /var/www/ -name '*.php' |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|(gunerpress|(base64_decoolcode|spider_bc|shell_exec|passthru|($_\POST[|eval (str_rot13|.chr(|${'_P|eval($_R|file_put_contents(.*$_|base64_decode'

3） grep -i –r eval($_post /app/website/*

4） find /app/website/ -type f|xargs grep eval($_post

數(shù)據(jù)庫排查

數(shù)據(jù)庫日志

mysql日志

1）錯(cuò)誤日志：默認(rèn)開啟，hostname.err

2）查詢?nèi)罩荆河涗浻脩舻乃胁僮?。默認(rèn)關(guān)閉，general_log_file（常見getshell手法）

3）慢查詢?nèi)罩荆河涗泩?zhí)行時(shí)間超過指定時(shí)間的查詢語句，slow_query_log_file（慢查詢getshell）

4）事務(wù)日志：ib_logfile0

5）二進(jìn)制日志：記錄修改數(shù)據(jù)或有可能引起數(shù)據(jù)改變的mysql語句，log_bin，默認(rèn)在數(shù)據(jù)目錄，如mysql-bin.000001

mssql日志

exec xp_readerrorlog

object Explorer-Management-SQL Server logs-view-logs

SQL Server 2008：R2\MSSQL10_50.MSSQLSERVER\MSSQL\Log\ERRORLOG

misc

1）mysql\lib\plugin目錄的異常文件
2）select * from mysql.func的異常
3）mssql檢查xp_cmdshell等存儲(chǔ)過程
4）異常數(shù)據(jù)庫登錄
5）數(shù)據(jù)庫用戶弱口令
6）mysql相關(guān)命令
show global variables like '%log%';
show global variables like '%gene%';
show master status;
systemmore /mydata/data/stu18_slow.log;
showbinary logs;
showmaster logs;
showbinlog events in 'mysql-bin.000011';
show processlist;
注意mysqld配置文件

linux應(yīng)急響應(yīng)

文件

ls -alt

查找72小時(shí)內(nèi)新增的文件：
find / -ctime -2

文件日期、新增文件、可疑/異常文件、最近使用文件、瀏覽器下載文件

/var/run/utmp 有關(guān)當(dāng)前登錄用戶的信息記錄

/etc/passwd 用戶列表

/tmp 臨時(shí)目錄

~/.ssh

/etc/ssh

查看文件：
ls -alt | head -n 10

查找24小時(shí)內(nèi)被修改的JSP文件：
find ./ -mtime 0 -name '*.jsp'

根據(jù)確定時(shí)間去反推變更的文件：
ls -al /tmp | grep 'Feb 27'

查找777的權(quán)限的文件：
find / *.jsp -perm 4777

隱藏文件.xxx

分析sshd 文件是否包括IP信息：
strings /usr/bin/.sshd | egrep '[1-9]{1,3}.[1-9]{1,3}.'

更改：
find /etc/ /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime 0

訪問：
find /tmp -iname '*' -atime 1 -type f

命令目錄：/usr/bin /usr/sbin

日志

/var/log/

/var/log/wtmp 登錄進(jìn)入，退出，數(shù)據(jù)交換、關(guān)機(jī)和重啟紀(jì)錄，即last
/var/log/lastlog 文件記錄用戶最后登錄的信息，即lastlog
/var/log/secure 記錄登入系統(tǒng)存取數(shù)據(jù)的文件，如 pop3/ssh/telnet/ftp
/var/log/cron 與定時(shí)任務(wù)相關(guān)的日志信息
/var/log/message 系統(tǒng)啟動(dòng)后的信息和錯(cuò)誤日志
/var/log/apache2/access.log apache access log
/var/log/message 包括整體系統(tǒng)信息
/var/log/auth.log 包含系統(tǒng)授權(quán)信息，包括用戶登錄和使用的權(quán)限機(jī)制等
/var/log/userlog 記錄所有等級(jí)用戶信息的日志
/var/log/cron 記錄crontab命令是否被正確的執(zhí)行
/var/log/xferlog(vsftpd.log)記錄Linux FTP日志
/var/log/lastlog 記錄登錄的用戶，可以使用命令lastlog查看
/var/log/secure 記錄大多數(shù)應(yīng)用輸入的賬號(hào)與密碼，登錄成功與否
var/log/faillog　　 記錄登錄系統(tǒng)不成功的賬號(hào)信息

history (cat /root/.bash_history)

查看爆破失敗的IP：
grep 'Failed' /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr

查看登錄成功的IP：
grep 'Accepted' /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr

more messages

定位有多少IP在爆破主機(jī)的root賬號(hào)：
grep 'Failed password for root' /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more

登錄成功的IP：
grep 'Accepted ' /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more

監(jiān)控最后400行日志文件的變化 等價(jià)與 tail -n 400 -f （-f參數(shù)是實(shí)時(shí)）：
tail -400f demo.log

標(biāo)記該行重復(fù)的數(shù)量，不重復(fù)值為1：
uniq -c demo.log

輸出文件demo.log中查找所有包行ERROR的行的數(shù)量：
grep -c 'ERROR' demo.log

cat /var/log/secure |grep 'Accepted password‘

查看登錄成功的日期、用戶名及IP：
grep 'Accepted ' /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'

查看試圖爆破主機(jī)的IP：
開啟iptables：grep 'refused' /var/log/secure* | awk {'print $9'} | sort | uniq -c |sort -nr | more

未開啟iptables：
grep 'Failed password' /var/log/secure* | grep -E -o '(([0-9]{1,3}).([0-9]{1,3}).([0-9]{1,3}).([0-9]{1,3}))' | uniq -c

查看爆破主機(jī)的ROOT賬號(hào)的IP：
grep 'Failed password for root' /var/log/secure | awk '{print $11}' | sort

查看爆破用戶名字典：
grep 'Failed password' /var/log/secure | awk {'print $9'} | sort | uniq -c | sort -nr

grep -o 'Failed password' /var/log/secure|uniq -c

grep 'Accepted ' /var/log/secure | awk '{print $1,$2,$3,$9,$11}

用戶

last
/etc/shadow 密碼登陸相關(guān)信息
uptime 查看用戶登陸時(shí)間
/etc/sudoers sudo用戶列表
/etc/passwd

查看UID為0的賬號(hào)：
awk -F: '{if($3==0)print $1}' /etc/passwd

查看能夠登錄的賬號(hào)：
cat /etc/passwd | grep -E '/bin/bash$'

awk '/$1|$6/{print $1}' /etc/shadow

lastlog 系統(tǒng)中所有用戶最近一次登錄信息

lastb 用戶錯(cuò)誤的登錄列表

more /etc/sudoers | grep -v '^#|^$' | grep 'ALL=(ALL)'

who 查詢utmp文件并報(bào)告當(dāng)前登錄的每個(gè)用戶

w 查詢utmp文件并顯示當(dāng)前系統(tǒng)中每個(gè)用戶和它所運(yùn)行的進(jìn)程信息

users 打印當(dāng)前登錄的用戶，每個(gè)用戶名對(duì)應(yīng)一個(gè)登錄會(huì)話。如果一個(gè)用戶不止一個(gè)登錄會(huì)話，其用戶名顯示相同次數(shù)

進(jìn)程

lsof

ps aux | grep pid | grep –v grep

lsof -i:1677 查看指定端口對(duì)應(yīng)的程序

lsof -p 1234 檢查pid號(hào)為1234進(jìn)程調(diào)用情況

strace -f -p 1234 跟蹤分析pid號(hào)為1234的進(jìn)程

lsof -g gid 找惡意文件關(guān)聯(lián)的lib文件

ps -aux或ps -ef

pstree -a

獲取進(jìn)程pid后可cd到/proc/對(duì)應(yīng)pid/fd

隱藏進(jìn)程查看
ps -ef | awk '{print}' | sort -n | uniq >1 ls /proc | sort -n |uniq >2 diff 1 2

netstat -anptl

top

端口

netstat -anpt

自啟動(dòng)

~/.bashrc

rc.local

/etc/init.d

chkconfig

chkconfig --list | grep '3:on|5:on'

/etc/init.d/rc.local

/etc/rc.local

/etc/init.d/ 開機(jī)啟動(dòng)項(xiàng)

/etc/cron* 定時(shí)任務(wù)

計(jì)劃任務(wù)

crontab -l

crontab /etc/cron*

crontab -u root -l

cat /etc/crontab

ls /etc/cron.*

/var/spool/cron/*

/etc/crontab

/etc/cron.d/*

/etc/cron.daily/*

/etc/cron.hourly/*

/etc/cron.monthly/*

/etc/cron.weekly/

/etc/anacrontab

/var/spool/anacron/*

/var/log/cron*

misc

stat

echo $PATH

./rpm -Va > rpm.log

kill -9

chattr –i

rm

setfacl

getfacl

lsattr

ssh

chmod

find / -perm -004000 -type f

chattr +i

去執(zhí)行權(quán)限：

chmod 000

查看預(yù)加載庫：

echo $LD_PRELOAD

ssh后門快速判斷：

strings /usr/bin/.sshd | egrep '[1-9]{1,3}.[1-9]{1,3}.'

檢查SSH后門：
1）比對(duì)ssh的版本
ssh -V
2）查看ssh配置文件和/usr/sbin/sshd的時(shí)間：
stat /usr/sbin/sshd
3）strings檢查/usr/sbin/sshd，是否有郵箱信息
4）通過strace監(jiān)控sshd進(jìn)程讀寫文件的操作
一般的sshd后門都會(huì)將賬戶密碼記錄到文件，可以通過strace進(jìn)程跟蹤到ssh登錄密碼文件。
ps axu | grep sshd | grep -v grep
root 65530 0.0 0.1 48428 1260 ? Ss 13:43 0:00 /usr/sbin/sshd
strace -o aa -ff -p 65530
grep open aa* | grep -v -e No -e null -e denied| grep WR
aa.102586:open('/tmp/ilog', O_WRONLY|O_CREAT|O_APPEND, 0666) = 4

windows應(yīng)急響應(yīng)

//圖片來源：https://www.cnblogs.com/0x4D75/p/9838098.html

文件

C:\Documents and Settings\Administrator\Recent

C:\Documents and Settings\Default User\Recent

%UserProfile%\Recent

文件日期、新增文件、可疑/異常文件、最近使用文件、瀏覽器下載文件

下載目錄

回收站文件

程序臨時(shí)文件

歷史文件記錄

應(yīng)用程序打開歷史

搜索歷史

快捷方式（LNK）

c:\windows\temp\

Window 2003 C:\Documents and Settings

Window 2008R2 C:\Users\

Temp/tmp目錄

開始-運(yùn)行，輸入%UserProfile%\Recent

時(shí)間排序文件

日志

開審核策略

系統(tǒng)日志，程序日志，安全日志

eventvwr.msc

1）服務(wù)器日志：

FTP連接日志和HTTPD事務(wù)日志：%systemroot% \system32\LogFiles\

IIS日志默認(rèn)存放在System32\LogFiles目錄下，使用W3C擴(kuò)展格式

2）操作系統(tǒng)日志：

登錄成功的所有事件：
LogParser.exe -i:EVT –o:DATAGRID “SELECT * FROM c:\Security.evtx where EventID=4624″

指定登錄時(shí)間范圍的事件：
LogParser.exe -i:EVT –o:DATAGRID “SELECT * FROM c:\Security.evtx where TimeGenerated>’2018-06-19 23:32:11′ and TimeGenerated<’2018-06-20 23:34:00′ and EventID=4624″

提取登錄成功的用戶名和IP：
LogParser.exe -i:EVT –o:DATAGRID “SELECT EXTRACT_TOKEN(Message,13,’ ‘) as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,’|') as Username,EXTRACT_TOKEN(Message,38,’ ‘) as Loginip FROM c:\Security.evtx where EventID=4624″

登錄失敗的所有事件：
LogParser.exe -i:EVT –o:DATAGRID “SELECT * FROM c:\Security.evtx where EventID=4625″

提取登錄失敗用戶名進(jìn)行聚合統(tǒng)計(jì)：
LogParser.exe -i:EVT “SELECT EXTRACT_TOKEN(Message,13,’ ‘) as EventType,EXTRACT_TOKEN(Message,19,’ ‘) as user,count(EXTRACT_TOKEN(Message,19,’ ‘)) as Times,EXTRACT_TOKEN(Message,39,’ ‘) as Loginip FROM c:\Security.evtx where EventID=4625 GROUP BY Message”

系統(tǒng)歷史開關(guān)機(jī)記錄：
LogParser.exe -i:EVT –o:DATAGRID “SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006″

賬號(hào)

新增用戶

弱口令

管理員對(duì)應(yīng)鍵值

lusrmgr.msc 查看賬戶變化

net user 列出當(dāng)前登錄賬戶

wmic UserAccount get 列出當(dāng)前系統(tǒng)所有賬戶

C:>net localgroup administrators

隱藏/克隆賬號(hào)：

LD_check

注冊(cè)表-管理員鍵值：

HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users

D盾查殺

日志-登錄時(shí)間/用戶名

進(jìn)程

tasklist /svc | findstr pid

netstat -ano

tasklist /svc

findstr

wmic process | find 'Proccess Id' > proc.csv

Get-WmiObject -Class Win32_Process

Get-WmiObject -Query 'select * from win32_service where name='WinRM'' -ComputerName Server01, Server02 | Format-List -Property PSComputerName, Name, ExitCode, Name, ProcessID, StartMode, State, Status

沒有簽名驗(yàn)證信息的進(jìn)程
沒有描述信息的進(jìn)程
進(jìn)程的屬主
進(jìn)程的路徑是否合法
CPU或內(nèi)存資源占用長(zhǎng)時(shí)間過高的進(jìn)程

msinfo32

wmic process get caption,commandline /value

wmic process where caption=”svchost.exe” get caption,commandline /value

wmic service get name,pathname,processid,startname,status,state /value

wmic process get CreationDate,name,processid,commandline,ExecutablePath /value

wmic process get name,processid,executablepath| findstr '7766'

端口

netstat -ano

CLOSED：無連接活動(dòng)或正在進(jìn)行
LISTEN：監(jiān)聽中等待連接
SYN_RECV：服務(wù)端接收了SYN
SYN_SENT：請(qǐng)求連接等待確認(rèn)
ESTABLISHED：連接建立數(shù)據(jù)傳輸
FIN_WAIT1：請(qǐng)求中止連接，等待對(duì)方FIN
FIN_WAIT2：同意中止，請(qǐng)稍候
ITMED_WAIT：等待所有分組死掉
CLOSING：兩邊同時(shí)嘗試關(guān)閉
TIME_WAIT：另一邊已初始化一個(gè)釋放
LAST_ACK：等待原來的發(fā)向遠(yuǎn)程TCP的連接中斷請(qǐng)求的確認(rèn)
CLOSE-WAIT：等待關(guān)閉連接

自啟動(dòng)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx

(ProfilePath)\Start Menu\Programs\Startup 啟動(dòng)項(xiàng)

msconfig 啟動(dòng)選項(xiàng)卡

gpedit.msc 組策略編輯器

開始>所有程序>啟動(dòng)

msconfig-啟動(dòng)

計(jì)劃任務(wù)

C:\Windows\System32\Tasks\

C:\Windows\SysWOW64\Tasks\

C:\Windows\tasks\

schtasks

taskschd.msc

at

開始-設(shè)置-控制面板-任務(wù)計(jì)劃

注冊(cè)表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList，HKLM\SAM\Domains\Account\

hklm:\Software\Microsoft\Windows\CurrentVersion\policies\system

hklm:\Software\Microsoft\Active Setup\Installed Components

hklm:\Software\Microsoft\Windows\CurrentVersion\App Paths

hklm:\software\microsoft\windows nt\CurrentVersion\winlogon

hklm:\software\microsoft\security center\svc

hkcu:\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths

hkcu:\Software\Microsoft\Windows\CurrentVersion\explorer\RunMru

hklm:\Software\Microsoft\Windows\CurrentVersion\explorer\Startmenu

hklm:\System\CurrentControlSet\Control\Session Manager

hklm:\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders

hklm:\Software\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved

hklm:\System\CurrentControlSet\Control\Session Manager\AppCertDlls

hklm:\Software\Classes\exefile\shell\open\command

hklm:\BCD00000000

hklm:\system\currentcontrolset\control\lsa

hklm:\Software \Microsoft\Windows\CurrentVersion\Explorer\BrowserHelper Objects

hklm:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

hkcu:\Software\Microsoft\Internet Explorer\Extensions

hklm:\Software\Microsoft\Internet Explorer\Extensions

hklm:\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_CLASSES_ROOT\exefile\shell\open\command

服務(wù)

services.msc

misc

查看指定時(shí)間范圍包括上傳文件夾的訪問請(qǐng)求：

findstr /s /m /I “UploadFiles” *.log

關(guān)鍵信息是x.js

findstr /s /m /I “x.js” *.asp

根據(jù)關(guān)鍵字搜索：

for /r d:\ %i in (shell.asp) do @echo %i

set

systeminfo

((?:(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))).){3}(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))))

安裝安全軟件：360/小A/瑞星/騰訊管家/金山/火絨

網(wǎng)絡(luò)層應(yīng)急響應(yīng)

DDOS

SYN 類攻擊判斷
1.服務(wù)器 CPU 占用率很高。
2.出現(xiàn)大量的 SYN_RECEIVED 的網(wǎng)絡(luò)連接狀態(tài)。
3.網(wǎng)絡(luò)恢復(fù)后，服務(wù)器負(fù)載瞬時(shí)變高。網(wǎng)絡(luò)斷開后瞬時(shí)負(fù)載下將。

UDP 類攻擊判斷
1.服務(wù)器 CPU 占用率很高。
2.網(wǎng)卡每秒接受大量的數(shù)據(jù)包。
3.網(wǎng)絡(luò) TCP 狀態(tài)信息正常。

CC 類攻擊判斷
1.服務(wù)器 CPU 占用率很高。
2.Web 服務(wù)器出現(xiàn)類似 Service Unavailable 提示。
3.出現(xiàn)大量的 ESTABLISHED 的網(wǎng)絡(luò)連接狀態(tài)且單個(gè) IP 高達(dá)幾十個(gè)甚至上百個(gè)連接。
4.用戶無法正常訪問網(wǎng)站頁面或打開過程非常緩慢，軟重啟后短期內(nèi)恢復(fù)正常，幾分鐘后又無法訪問。

參考資料：https://www.hi-linux.com/posts/50873.html

常見攻擊類型：

icmp flood：

此攻擊屬于大流量攻擊，其原理就是不斷發(fā)送不正常的 ICMP 包（所謂不正常就是 ICMP 包內(nèi)容很大），導(dǎo)致目標(biāo)帶寬被占用。但其本身資源也會(huì)被消耗，并且目前很多服務(wù)器都是禁 ping 的（在防火墻里可以屏蔽 ICMP 包），因此這種方式已經(jīng)落伍。

syn flood：

原理就是偽造大量不存在的IP地址，阻斷TCP三次握手的第三次ACK包，即不對(duì)服務(wù)器發(fā)送的SYN+ACK數(shù)據(jù)包做出應(yīng)答。由于服務(wù)器沒有收到客戶端發(fā)來的確認(rèn)響應(yīng)，就會(huì)一直保持連接直到超時(shí)，當(dāng)有大量這種半開連接建立時(shí)，即造成SYN Flood攻擊。

特征：syn+ack netstat -n -p TCP | grep SYN_RECV

防御：
在Linux上可以修改以下配置提高TCP半開連接隊(duì)列大小的上限：
/proc/sys/net/ipv4/tcp_max_syn_backlog

可以減少半開狀態(tài)下等待ACK消息的時(shí)間或者重試發(fā)送SYN-ACK消息的次數(shù)：
/proc/sys/net/ipv4/tcp_synack_retries
SYN Cookies
SYN Cache

IPS規(guī)則
開啟防火墻，限制單ip的syn包的頻率

udp flood：

由于 UDP 是一種無連接的協(xié)議，因此攻擊者可以偽造大量的源 IP 地址去發(fā)送 UDP 包，此種攻擊屬于大流量攻擊。正常應(yīng)用情況下，UDP 包雙向流量會(huì)基本相等，因此在消耗對(duì)方資源的時(shí)候也在消耗自己的資源。

CLDAP協(xié)議 Reflection DDoS：

在CLDAP中只提供三種操作：searchRequest、searchResponse （searchResEntry和searchResDone）、abandonRequest，在不提供身份驗(yàn)證功能的情況下，客戶端可以使用UDP數(shù)據(jù)報(bào)對(duì)LDAP服務(wù)器389端口發(fā)起操作請(qǐng)求。由于客戶端發(fā)起searchRequest后服務(wù)端將返回searchResEntry和searchResDone兩條應(yīng)答消息，一般情況下執(zhí)行該操作將具有較小數(shù)據(jù)包反射出較大數(shù)據(jù)包的效果，這一缺陷隨即被利用進(jìn)行反射放大DDoS攻擊

ACK flood：

ACK Flood 攻擊是在 TCP 連接建立之后進(jìn)行的。所有數(shù)據(jù)傳輸?shù)?TCP 報(bào)文都是帶有 ACK 標(biāo)志位的，主機(jī)在接收到一個(gè)帶有 ACK 標(biāo)志位的數(shù)據(jù)包的時(shí)候，需要檢查該數(shù)據(jù)包所表示的連接四元組是否存在。如果存在則檢查該數(shù)據(jù)包所表示的狀態(tài)是否合法，然后再向應(yīng)用層傳遞該數(shù)據(jù)包。如果在檢查中發(fā)現(xiàn)該數(shù)據(jù)包不合法（例如：該數(shù)據(jù)包所指向的目的端口在本機(jī)并未開放），則主機(jī)操作系統(tǒng)協(xié)議棧會(huì)回應(yīng) RST 包告訴對(duì)方此端口不存在。

當(dāng)發(fā)包速率很大的時(shí)候，主機(jī)操作系統(tǒng)將耗費(fèi)大量的精力接收?qǐng)?bào)文、判斷狀態(tài)，同時(shí)要主動(dòng)回應(yīng) RST 報(bào)文，正常的數(shù)據(jù)包就可能無法得到及時(shí)的處理。這時(shí)候客戶端的表現(xiàn)就是訪問頁面反應(yīng)很慢，丟包率較高。

Connection Flood：

典型的并且非常有效的利用小流量沖擊大帶寬網(wǎng)絡(luò)服務(wù)的攻擊方式。這種攻擊的原理是利用真實(shí)的 IP 地址向服務(wù)器發(fā)起大量的連接，并且建立連接之后很長(zhǎng)時(shí)間不釋放。長(zhǎng)期占用服務(wù)器的資源，造成服務(wù)器上殘余連接 (WAIT 狀態(tài)) 過多，效率降低，甚至資源耗盡，無法響應(yīng)其它客戶所發(fā)起的連接。

DNS 放大攻擊：

原理：偽造DNS數(shù)據(jù)包，向DNS服務(wù)器發(fā)送域名查詢報(bào)文了，而DNS服務(wù)器返回的應(yīng)答報(bào)文則會(huì)發(fā)送給被攻擊主機(jī)。放大體現(xiàn)在請(qǐng)求DNS回復(fù)的類型為ANY，攻擊者向服務(wù)器請(qǐng)求的包長(zhǎng)度為69個(gè)字節(jié)，而服務(wù)器向被攻擊主機(jī)回復(fù)的ANY類型DNS包長(zhǎng)度為535字節(jié)，大約放大了7倍（放大倍數(shù)視具體情況）。構(gòu)造受害者IP為源IP 大量DNS服務(wù)器實(shí)現(xiàn)DDoS

特征：大量dns請(qǐng)求
防御：IPS規(guī)則、關(guān)閉遞歸查詢，DNS解析器應(yīng)僅向源自受信任域的設(shè)備提供其服務(wù)，acl。
增大帶寬、聯(lián)系ISP上游阻斷。

CC攻擊：

原理就是借助代理服務(wù)器針對(duì)目標(biāo)系統(tǒng)的消耗資源比較大的頁面不斷發(fā)起正常的請(qǐng)求，造成對(duì)方服務(wù)器資源耗盡，一直到宕機(jī)崩潰。因此在發(fā)送 CC 攻擊前，我們需要尋找加載比較慢，消耗資源比較多的網(wǎng)頁。比如：需要查詢數(shù)據(jù)庫的頁面、讀寫硬盤的文件等。

慢速連接攻擊：

針對(duì)HTTP協(xié)議，先建立起HTTP連接，設(shè)置一個(gè)較大的Conetnt-Length，每次只發(fā)送很少的字節(jié)，讓服務(wù)器一直以為HTTP頭部沒有傳輸完成，這樣連接一多就很快會(huì)出現(xiàn)連接耗盡。

Slowloris 攻擊：

Slowloris 是一種慢速連接攻擊，Slowloris 是利用 Web Server 的漏洞或設(shè)計(jì)缺陷，直接造成拒絕服務(wù)。其原理是：以極低的速度往服務(wù)器發(fā)送 HTTP 請(qǐng)求，Apache 等中間件默認(rèn)會(huì)設(shè)置最大并發(fā)鏈接數(shù)，而這種攻擊就是會(huì)持續(xù)保持連接，導(dǎo)致服務(wù)器鏈接飽和不可用。Slowloris 有點(diǎn)類似于 SYN Flood 攻擊，只不過 Slowloris 是基于 HTTP 協(xié)議。

NTP Flood

SSDP Flood

DOS通用防御：
砸錢，上抗d設(shè)備，流量清洗，高防，硬防，cdn，隱藏真實(shí)ip

網(wǎng)絡(luò)層 DDoS 防御
1.限制單 IP 請(qǐng)求頻率。
2.網(wǎng)絡(luò)架構(gòu)上做好優(yōu)化，采用負(fù)載均衡分流。
3.防火墻等安全設(shè)備上設(shè)置禁止 ICMP 包等。
4.通過 DDoS 硬件防火墻的數(shù)據(jù)包規(guī)則過濾、數(shù)據(jù)流指紋檢測(cè)過濾、及數(shù)據(jù)包內(nèi)容定制過濾等技術(shù)對(duì)異常流量進(jìn)行清洗過濾。
5.采用 ISP 近源清洗，使用電信運(yùn)營(yíng)商提供的近源清洗和流量壓制，避免全站服務(wù)對(duì)所有用戶徹底無法訪問。這是對(duì)超過自身帶寬儲(chǔ)備和自身 DDoS 防御能力之外超大流量的補(bǔ)充性緩解措施。

應(yīng)用層 DDoS 防御
1.優(yōu)化操作系統(tǒng)的 TCP/IP 棧。
2.應(yīng)用服務(wù)器嚴(yán)格限制單個(gè) IP 允許的連接數(shù)和 CPU 使用時(shí)間。
3.編寫代碼時(shí)，盡量實(shí)現(xiàn)優(yōu)化并合理使用緩存技術(shù)。盡量讓網(wǎng)站靜態(tài)化，減少不必要的動(dòng)態(tài)查詢。網(wǎng)站靜態(tài)化不僅能大大提高抗攻擊能力，而且還給駭客入侵帶來不少麻煩，至少到現(xiàn)在為止關(guān)于 HTML 的溢出還沒出現(xiàn)。
4.增加 WAF（Web Application Firewall）設(shè)備，WAF 的中文名稱叫做 Web 應(yīng)用防火墻。Web 應(yīng)用防火墻是通過執(zhí)行一系列針對(duì) HTTP / HTTPS 的安全策略來專門為 Web 應(yīng)用提供保護(hù)的一款產(chǎn)品。
5.使用 CDN / 云清洗，在攻擊發(fā)生時(shí)，進(jìn)行云清洗。通常云清洗廠商策略有以下幾步：預(yù)先設(shè)置好網(wǎng)站的 CNAME，將域名指向云清洗廠商的 DNS 服務(wù)器；在一般情況下，云清洗廠商的 DNS 仍將穿透 CDN 的回源的請(qǐng)求指向源站，在檢測(cè)到攻擊發(fā)生時(shí)，域名指向自己的清洗集群，然后再將清洗后的流量回源。
6.CDN 僅對(duì) Web 類服務(wù)有效，針對(duì)游戲類 TCP 直連的服務(wù)無效。這時(shí)可以使用 DNS 引流 + ADS (Anti-DDoS System) 設(shè)備來清洗，還有在客戶端和服務(wù)端通信協(xié)議做處理（如：封包加標(biāo)簽，依賴信息對(duì)稱等）。

參考資料：https://www.hi-linux.com/posts/50873.html

ARP欺騙

ARP攻擊，是針對(duì)以太網(wǎng)地址解析協(xié)議（ARP）的一種攻擊技術(shù)，通過欺騙局域網(wǎng)內(nèi)訪問者PC的網(wǎng)關(guān)MAC地址，使訪問者PC錯(cuò)以為攻擊者更改后的MAC地址是網(wǎng)關(guān)的MAC，導(dǎo)致網(wǎng)絡(luò)不通。
---百度百科

在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信

arp -a

防御：
防火墻，mac地址綁定

DNS劫持

控制域名解析權(quán)限，比如訪問google.com解析到了baidu.com的IP，比如通過iframe打開google.com

防御：
換DNS服務(wù)器，采用https，向工信部/運(yùn)營(yíng)商投訴

HTTP劫持（內(nèi)容劫持）

在和網(wǎng)站交互過程中的劫持了請(qǐng)求，比如在右下角出現(xiàn)廣告彈窗（插入js或dom）

防御：
采用https，向工信部/運(yùn)營(yíng)商投訴

參考資料

https://www.hi-linux.com/posts/50873.html

https://www.cnblogs.com/zdz8207/p/10729294.html

交換機(jī)/路由器應(yīng)急響應(yīng)

交換機(jī)負(fù)載過高（cpu100%）

常見原因：
線路老化，端口接錯(cuò)（千兆/百兆/環(huán)路），內(nèi)網(wǎng)病毒蠕蟲，業(yè)務(wù)變動(dòng)導(dǎo)致流量劇增，PBR，廣播風(fēng)暴

現(xiàn)象：
丟包，延時(shí)較大

交換機(jī)排查常用命令

show process cpu
show platform health
sh int | i protocol | rate | broadcasts 哪個(gè)端口收發(fā)包較多
show ip traffic
Monitor session 1 soure interface cpu
Monitor session 1 des interface 具體接口
sh platform cpu packet statistics

路由器常用命令

enable 進(jìn)入特權(quán)模式
config terminal 進(jìn)入全局配置模式
router（config）#line console 0 進(jìn)入控制臺(tái)口
router（config-line）#line vty 0 4 進(jìn)入虛擬終端（Ctrl+z）返回特權(quán)模式
int s0/0 進(jìn)入Serail接口
no shutdown 激活當(dāng)前接口
ip address 設(shè)置IP地址
int f0/0.1 進(jìn)入子接口
copy running-config startup-config 保存配置
show version 顯示路由器的版本信息
show running-config 顯示整個(gè)路由器的配置
show run interface serial 0 顯示端口s0的配置
show int serial 0 顯示端口s0的狀態(tài)
show contr serial 0 顯示端口s0是DTE還是DCE
show cdp neighbor 顯示連接了哪些鄰居
show cdp entry * 顯示連接的路由的具體信息
show cdp interface s0 顯示s0口連接的鄰居
show ip route
show run 查看當(dāng)前配置

misc

HiPri代表是處理高優(yōu)先級(jí)的進(jìn)程，LoPri代 表處理低優(yōu)先級(jí)的進(jìn)程，LoPri 值比較大原因是因?yàn)檫M(jìn)程超過了HiPri給定的Target，然后交給了LoPri來處理

Cat4k Mgmt HiPri和Cat4k Mgmt LoPri兩個(gè)進(jìn)程的原理。當(dāng)某個(gè)進(jìn)程占用CPU時(shí)間超過規(guī)定的CPU分配時(shí)間時(shí)，Cat4k Mgmt HiPri進(jìn)程便會(huì)接管這個(gè)進(jìn)程; 而當(dāng)Cat4k平臺(tái)上某項(xiàng)進(jìn)程占用CPU超出了應(yīng)分配的CPU時(shí)間時(shí)，Cat4k Mgmt LoPri進(jìn)程會(huì)接管這項(xiàng)進(jìn)程，使其他進(jìn)程能夠得到CPU時(shí)間。

相關(guān)資料

https://www.cisco.com/c/zh_cn/support/docs/switches/catalyst-3750-series-switches/68461-high-cpu-utilization-cat3750.html

https://blog.51cto.com/2825930/2286871

https://blog.51cto.com/2825930/2286867

www.voidcn.com/article/p-ynqudrjf-wr.html

blog.sina.com.cn/s/blog_4ca83f8301015357.html