一:日常巡检:
1.日志:
a:事件查看器中,查看日志。应用程序,安全性,系统,观察是否被入侵。
b:查看历史记录在c:\DOCUMENTS AND SETTINGS
c:修改后门账号密码。进去查看历史浏览网页等一些东西
2.进程,端口,网络连接,服务:
a:tasklisk 查看进程
b:netstatt -an 查看端口连接状态
c:使用一些安全工具,分析后台木马等
d:在服务中,查看是否插入了系统进程。。
4.cpu,内存,流量:
可能用服务器发动DDOS攻击,或者扫描其它服务器,导致cpu,内存达到峰值
5.用户:
a:在cmd中使用net user
b:管理,本地用户组,用户。观察里面用户账号
c:在注册表:HKEY_LOCAL_MACHINE --> software --> microsoft --> windows nt -->
currentversion --> profilelist中 快速检测以前存在过哪些账号
d:在注册表中查看安装软件记录HKEY_LOCAL_MACHINE --> software --> microsoft --> windows nt --> currentversion -->uninstall中
6.以及其他一些细节
a:攻击者软件基本放在在c:\windows中,搜索*.exe来排查(显示系统属性文件,有
可能用attrib来更改属性)
b:禁用掉攻击者可能利用的系统工具。如net,attrib等
c:在注册表里查看启动项
二:应急响应报告:
框架大概:
目录
1 概况
2 工作描述
2.1 网络和服务器情况
2.2 被攻击情况
2.3 入侵检查过程
2.3.1 C盘存在黑客上传的文件
2.3.2 对前段部分web网站http日志进行分析
2.3.3 查看系统隐藏进程
2.3.4 对系统进行sniffer抓包
2.3.5 对服务器安全日志进行分析
3 综合分析
4 改进建议
三:简单预案方法:
1. 迅速隔离感染病毒的系统
2. 如果怀疑是病毒,则应该尽快将奥组委的网络和外网隔离。在断开与外网的连接之前,与LAN 、WAN的管理员一起确定最好的方案;
3. 尽快通知信息安全管理小组,如果10分钟内不能联系到信息安全管理小组,则联系备份人员;
4. 在一小时之内通知信息安全分管领导,如果必要,信息安全分管领导应该向上级汇报;
5. 在2小时之内通知相关的主机管理员/网络管理员
6. 在等待主机管理员/网络管理员/过程中,尝试去追溯攻击来源,并确定究竟有多少系统受到影响。备份系统的日志文件和其他相关的文件;
7. 信息安全管理小组决定下一步应该做的工作,并分配做相应工作的人员;
8. 如果必要的话,信息安全管理小组应该向上级汇报,并在安全调查的基础上写出事件总结报告,送交相应的管理人员。