应急响应

应急响应

跨清溪半里桥
计算哈希

windows:

1
certutil -hashfile aaaa.py sha256/MD5/sha1

yjxy.png

linux:

1
2
3
sha256sum 3.txt
md5sum 1.txt
sha1sum 1.txt

yjxy.png

把哈希放进在线检测平台查询

1
https://www.virscan.org/

windows应急

命令 说明
net user 查看用户
lusrmgr.msc 查看用户组
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users(regedit注册表) 查看注册表隐藏账户
D盾 查看webshell
eventvwr.msc 查看日志
cmd输入wmic(任务管理器也一样) process查看程序进程路径
msconfig 查看启动
taskschd.msc 计划任务
systeminfo 查看系统信息
netstat -ano | findstr ESTABLISH 建立的连接
netstat -ano | find “LISTEN” 等待连接端口
netstat -ano | find “ip” 找到通信进程
tasklist | find “进程 id” 找到木马文件
query user 当前用户会话
危险端口
1
21、135、137-139、445、4444、6660-6669、3127-3128、7778、12345、27374、1433-1434、44445、1080

蓝队应急响应工具

linux应急

命令 说明
netstat -tunlp | grep “ip” 通过IP找进程
ps -ef | grep “进程 id” 进程找文件
ps -ef | grep bash 查看bash运行任务
crontab -l /r 查看计划任务,crontab只会清除自身的任务,需要查看其他 -r清除
cd etc/cron.d /daily/hourly/monthly/weekly 查看存放与每天
lsatter 1.sh 查看权限 i权限为文件不可变
sudo chattr -i 1.sh 取消i权限
kill -9 pid 强制杀死进程
cat /root/.bash_history 查看历史命令
ls /etc -ar | grep “^.“ 列出etc下的点开头文件,包括隐藏文件
top 查看系统整体情况
一般步骤:

查看网站框架,语言,然后查看日志,一般日志是/var/log

On this page
应急响应