事项归类

普遍的安全事项：

Web侵入：镜像劫持、窜改、Webshell

系统入侵：系统错误、RDP工程爆破、SSH工程爆破、服务器漏洞

病毒木马病毒：远程控制、侧门、勒索病毒

数据泄露：拖裤、数据库查询登陆（弱口令）

数据流量：频繁分包、大批量要求、DDOS进攻

2清查心绪

一个通例的侵入事项后的系统软件清查心绪：

文档分析

a)文档时间、增加文档、异常/出现异常文档、最近使用文档、浏览器下载文档

b)Webshell清查与分析

c)聚焦点运用关系文件目录文档分析

过程分析

a)当今流动性过程amp;远程控制紧邻

b)起动过程amp;任务计划

c)过程专用工具分析

i.Windows:Pchunter

ii.Linux:Chkrootkitamp;Rkhunter

系统信息

a)系统变量

b)账号信息内容

c)History

d)系统软件环境变量

系统日志分析

a)电脑操作系统系统日志

i.Windows:事项查看器（eventvwr）

ii.Linux:/var/log/

b)运用系统日志分析

i.Access.log

ii.Error.log

3分析清查

3.1Linux系列分析清查

3.1.1文档分析

比较敏感文件目录的文档分析（类/tmp文件目录，一声令下文件目录/usr/bin/usr/sbin）

比如:

查询tmp文件目录下的文档：ls–alt/tmp/

查询系统启动项內容：ls-alt/etc/init.d/

查询特定文件目录下文档時间的排列：ls-alt|head-n10

对于异常文档能够应用stat举办创建修改时间、会见時间的详尽查询，若修改时间间距事项时间挨近，有 线形关系，表明很有可能被窜改或是别的。

增加文档分析

比如要搜索24小时内被改动的JSP文档：find./-mtime0-name"*.jsp"

（最后一次改动产生在间距获取当前时间n24小时至(n 1)24小时）

搜索三天内增加的文档find/-ctime-2

PS：-ctime內容未更改管理权限更改時刻还可以查出来

凭证明确時间去推算替换的文档

ls-al/tmp|grep"Feb27"

独特管理权限的文档

搜索的管理权限的文档find/*.jsp-perm

掩藏的文档（以"."开始的具备掩藏特性的文档）

在文档分析全过程中，手工制作清查頻率较高的一声令下是findgrepls聚焦点目地是为了更好地关系逻辑推理出异常文档。

3.1.2过程一声令下

应用netstat互联网紧邻一声令下，分析异常端口号、异常IP、异常PID及程序流程过程

netstat–antlp|more

应用ps一声令下，分析过程

psaux|greppid|grep–vgrep

将netstat与ps联系，可参照vinc牛的实例：

（能够应用lsof-i:查询特定端口号相匹配的程序流程）

应用ls及其stat查询系统软件一声令下是不是被更换。

二种心绪：第一种查询一声令下文件目录近期的时间排序，第二种凭证明确時间去搭配。

ls-alt/usr/bin|head-10

ls-al/bin/usr/bin/usr/sbin//sbin/|grep"Jan15"