网络安全事件技术排查

1. 文件分析

a) 文件日期与异常文件检测

文件时间检查：

Windows：通过文件属性查看创建/修改时间，但需注意攻击者可能伪造时间（如使用工具修改文件时间戳）。

Linux：使用 ls -l 或 stat 命令查看文件时间戳，结合 find /path -mtime -1 查找最近修改的文件。

可疑文件特征：

非法扩展名（如 .php;.phtml）、异常文件名（如 index~1.php）、隐藏文件（.htaccess 滥用）。

工具推荐：

Linux：find /var/www/html -type f -name "*.php" -mtime -7（查找7天内修改的PHP文件）。

Windows：使用 PowerShell 脚本扫描可疑文件：

Get-ChildItem -Path "C:\inetpub\wwwroot" -Recurse | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-7) }

b) Webshell 排查与分析

Webshell 检测方法：

文件特征：检查上传目录（如 /upload/）是否存在异常小文件（如 shell.php）、包含 eval()、system() 等敏感函数的代码。

日志关联：分析 Web 访问日志（如 Apache 的 access.log）中的异常 POST 请求（如上传路径、频繁调用 shell 文件）。

工具推荐：

Linux：使用 grep 过滤敏感关键字：

grep -r "eval(" /var/www/html

自动化工具：

WebShellScan：基于规则匹配的 Webshell 检测工具。

Chkrootkit（见下文）：检测隐藏的 Webshell 后门。

c) 核心应用关联目录文件分析

关键目录检查：

Web 应用：检查 tmp/、cache/、upload/ 等目录是否被植入恶意文件。

数据库：排查数据库备份文件是否被篡改（如 SQL 注入留下的后门）。

工具推荐：

Linux：使用 inotify 监控目录变化：

inotifywait -m /var/www/html -e create,modify

Windows：使用 Sysinternals Process Monitor 监控文件访问行为。

2. 进程分析

a) 当前活动进程 & 远程连接

进程检查：

Windows：使用 tasklist 或 Process Explorer 查看异常进程（如 svchost.exe 多实例、未知进程）。

Linux：使用 ps aux 或 top 查看 CPU/内存占用高的进程。

远程连接排查：

Windows：netstat -ano 检查异常端口连接（如 127.0.0.1:4444）。

Linux：ss -tulnp 或 lsof -i 查看监听端口和连接状态。

工具推荐：

TCPView（Windows）：实时监控所有 TCP/UDP 连接。

Wireshark（跨平台）：抓包分析异常流量（如 C2 通信）。

b) 启动进程 & 计划任务

启动项检查：

Windows：

注册表：HKEY_CURRENT_USER\Run、HKEY_LOCAL_MACHINE\Run。

服务列表：services.msc 检查可疑服务。

Linux：

crontab -l 查看定时任务。

/etc/rc.local、/etc/systemd/system/ 检查开机启动项。

工具推荐：

Windows：Autoruns（微软官方工具）：显示所有启动项和加载项。

Linux：chkrootkit（检测 Rootkit 后门）。

c) 进程工具分析

工具推荐：

Windows：

PCHunter：检测隐藏进程、驱动级 Rootkit（如利用内核模块隐藏恶意进程）。

Process Hacker：深度分析进程资源占用和线程行为。

Linux：

Chkrootkit：检测已知 Rootkit 特征（如 rootkit.o 驱动）。

Rkhunter：扫描系统文件完整性，检测隐藏文件和异常进程。

rkhunter --checkall --sk

3. 系统信息

a) 环境变量

检查路径篡改：

Windows：echo %PATH% 检查是否被注入恶意路径（如 %TEMP%\）。

Linux：echo $PATH 查看是否存在非标准路径（如 /tmp）。

工具推荐：

Windows：Sysinternals Strings：分析可执行文件中的环境变量字符串。

b) 账号信息

隐藏账户检测：

Windows：

注册表：HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 查看用户列表。

命令行：net user 检查异常用户（如 admin$）。

Linux：

/etc/passwd 和 /etc/shadow 检查非法用户（如 UID=0 的非系统用户）。

awk -F: '$3 == 0 { print $1 }' /etc/passwd 查找 root 权限用户。

c) History

命令历史分析：

Linux：history 或 /root/.bash_history 查找可疑命令（如 wget 下载恶意文件、ssh 连接内网）。

Windows：PowerShell 历史记录（PSReadLine 日志）或 HKEY_CURRENT_USER\Console 注册表项。

d) 系统配置文件

关键配置检查：

Linux：

/etc/sudoers 检查权限提升配置。

/etc/ssh/sshd_config 检查 SSH 弱口令或允许 root 登录。

Windows：

C:\Windows\System32\drivers\etc\hosts 检查 DNS 劫持。

注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 检查服务配置。

4. 日志分析

a) 操作系统日志

Windows：

事件查看器（eventvwr）：

安全日志（事件ID 4624/4625）：登录成功/失败记录。

系统日志：检查蓝屏或服务异常。

工具推荐：

LogParser：使用 SQL 查询分析日志（如统计登录失败次数）。

Linux：

/var/log/ 目录：

auth.log（登录日志）、secure（SSH 日志）、syslog（系统日志）。

工具推荐：

GoAccess：实时分析 Web 日志流量。

ELK Stack（Elasticsearch+Logstash+Kibana）：集中化日志管理与可视化。

b) 应用日志分析

Web 服务器日志：

Apache/Nginx：

access.log：分析异常 IP 频率（如 SQL 注入尝试）。

error.log：查找 500 错误或权限问题。

工具推荐：

AWStats：生成访问统计报告。

Fail2Ban：根据日志自动封禁恶意 IP。

数据库日志：

MySQL：slow_query_log 检查异常慢查询。

PostgreSQL：pg_log 分析登录失败或异常操作。

总结

文件分析需结合时间戳、异常文件特征和自动化工具（如 Chkrootkit）。

进程分析应关注隐藏进程、远程连接及启动项，使用 PCHunter/Rkhunter 深度排查。

系统信息需验证账号、路径和配置文件的完整性，防止权限滥用。

日志分析是溯源关键，需结合系统日志和应用日志定位攻击路径。