emergency-response-checklist 目录 emergency-response-checklist 目录 前言 应急响应综合 应急响应类型 初步信息收集 整体分析流程 相关工具/资源 可疑域名后缀 常见动态域名提供商 misc 相关项目 web应急响应 各中间件/服务器日志默认存放位置 IIS apache tomcat weblogic jboss webshell排查 数据库排查 数据库日志 mysql日志 mssql日志 misc linux应急响应 文件 日志 用户 进程 端口 自启动 计划任务 misc windows应急响应 文件 日志 帐号 进程 端口 自启动 计划任务 注册表 服务 misc 网络层应急响应 DDOS ARP欺骗 DNS劫持 HTTP劫持(内容劫持) 参考资料 交换机/路由器应急响应 交换机负载过高(cpu100\x) 交换机排查常用命令 路由器常用命令 misc 相关资料   前言 本项目旨在为应急响应提供全方位辅助,以便快速解决问题。 结合自身经验和网络资料,形成checklist,期待大家提供更多技巧,共同完善本项目,欢迎issue/pr。 愿大家应急之路一帆风顺 下载PDF //图片皆来源于网络 应急响应综合 应急响应类型 web入侵:挂马、网页篡改(博彩/黑帽SEO等)、植入webshell,黑页,暗链等 主机入侵:病毒木马、勒索软件、远控后门、系统异常、RDP爆破、SSH爆破、主机漏洞、数据库入侵 等 网络攻击:DDOS攻击、DNS/HTTP劫持、ARP欺骗等 路由器/交换机异常:内网病毒,配置错误等 初步信息收集 客户属性:如名称/区域/领域等 入侵范围:如主机数/网段等 入侵现象:如cpu过高,勒索界面,异常网络链接,安全设备告警等 客户需求:是否要求溯源,是否要求协助修复等 整体分析流程 相关工具/资源 应急响应资源汇总: https://github.com/theLSA/hack-er-tools 可疑域名后缀 顶级域名 申请地区或机构 为何重点关注 .ru 俄罗斯 俄罗斯盛产黑客 .ws 东萨摩亚 不知名国家,易申请,难追踪注册者 .cc 科科斯群岛 不知名国家,易申请,难追踪注册者 .pw 帕劳 不知名国家,易申请,难追踪注册者 .bz 伯利兹 .su 苏联 不知名国家,易申请,难追踪注册者 前苏联虽然解体了,顶级域名还在使用,且多与黑产有关 .bw 伯兹瓦纳 不知名国家,易申请,难追踪注册者 .gw 几内亚比绍 不知名国家,易申请,难追踪注册者 .ms 蒙塞拉特岛 不知名国家,易申请,难追踪注册者 .mz 莫桑比克 不知名国家,易申请,难追踪注册者 常见动态域名提供商 'f3322.net','3322.org','7766.org','8866.org', '9966.org','8800.org','2288.org','6600.org', 'f3322.org', 'ddns.net', 'xicp.net', 'vicp.net','wicp.net','oicp.net','xicp.net','vicp.cc','eicp.net','uicp.cn','51vip.biz','xicp.cn','uicp.net' ,'vicp.hk','5166.info','coyo.eu','imblog.in','imzone.in','imshop.in','imbbs.in','imwork.net','iego.c n','vicp.co','iego.net','1366.co','1866.co','3utilities.com','bounceme.net','ddnsking.com','gotdn s.ch','hopto.org','myftp.biz','myftp.org','myvnc.com','no-ip.biz','no-ip.info','noip.org','noip.me','redirectme.net','servebeer.com','serveblog.net','servecounterstrike.com','se rveftp.com','servegame.com','servehalflife.com','servehttp.com','serveminecraft.net','servem p3.com','servepics.com','servequake.com','sytes.net','webhop.me','zapto.org','dynamicdns.net','epac.to','longmusic.com','compress.to','wikaba.com','zzux.com','dumb1.com','1dum b.com','onedumb.com','wha.la','youdontcare.com','yourtrap.com','2waky.com','sexidude.co m','mefound.com','organiccrap.com','toythieves.com','justdied.com','jungleheart.com','mrba sic.com','mrbonus.com','x24hr.com','dns04.com','dns05.com','zyns.com','my03.com','fartit.co m','itemdb.com','instanthq.com','xxuz.com','jkub.com','itsaol.com','faqserv.com','jetos.com',' qpoe.com','qhigh.com','vizvaz.com','mrface.com','isasecret.com','mrslove.com','otzo.com','sel lclassics.com','americanunfinished.com','serveusers.com','serveuser.com','freetcp.com','ddn s.info','ns01.info','ns02.info','myftp.info','mydad.info','mymom.info','mypicture.info','myz.info ','squirly.info','toh.info','xxxy.info','freewww.info','freeddns.com','myddns.com','dynamicdns. biz','ns01.biz','ns02.biz','xxxy.biz','sexxxy.biz','freewww.biz','www1.biz','dhcp.biz','edns.biz','ftp 1.biz','mywww.biz','gr8domain.biz','gr8name.biz','ftpserver.biz','wwwhost.biz','moneyhome.b iz','port25.biz','esmtp.biz','sixth.biz','ninth.biz','gotgame.org','bigmoney.biz','dns2.us','dns1.us','ns02.us','ns01.us','almostmy.com','ocry.com','ou rhobby.com','pcanywhere.net','ygto.com','ddns.ms','ddns.us','gettrials.com','4mydomain.co m','25u.com','4dq.com','4pu.com','3a.net','dsmtp.com','mynumber.org','ns1.name','ns2.name','ns3.name','changeip.name','ddns. name','rebatesrule.net','ezua.com','sendsmtp.com','trickip.net','trickip.org','dnsrd.com','lflink up.com','lflinkup.net','lflinkup.org','lflink.com','dnsdns.com','proxydns.com','myftp.name','dyndns.pro','changeip.net','mysecondarydns.com','c hangeip.org','dnsstuff.com','dynssl.com','mylftv.com','mynetav.net','mynetav.org','ikwb.com','acmetoy.com','d dns.mobi','dnset.com','authorizeddns.net','authorizeddns.org','authorizeddns.us','cleansite.b iz' misc 1)收集信息:操作系统版本,补丁,数据库版本,中间件/服务器,网络拓扑,受害范围,处置情况, 提取日志(主机,安全设备,数据库等) 2)务必亲自求证,眼见为实耳听为虚 相关项目 https://github.com/Bypass007/Emergency-Response-Notes web应急响应 各中间件/服务器日志默认存放位置 IIS C:\WINDOWS\system32\LogFiles apache Linux:/usr/local/apache/logs/ Windows:apache/logs/ tomcat conf/logging.properties logs/catalina.xx.log logs/host-manager.xx.log logs/localhost.xx.log logs/manager.xx.log 主要记录系统启、关闭日志、管理日志和异常信息 weblogic domain_name/servers/server_name/logs/ server_name.log:server启停日志 access.log:安装在该server之上的应用http访问日志 jboss LOG4J配置默认Deploy/conf/ 如jboss/server/default/conf/jboss-log4j.xml webshell排查 1)整站打包用webshell扫描工具扫 2) find /var/www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eva

pdf文档 应急响应检查列表 checklist

文档预览
中文文档 24 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共24页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
应急响应检查列表 checklist  第 1 页 应急响应检查列表 checklist  第 2 页 应急响应检查列表 checklist  第 3 页
下载文档到电脑,方便使用
本文档由 思安 于 2022-10-19 12:25:18上传分享
友情链接
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。