应急响应
计算哈希
windows:
1 | certutil -hashfile aaaa.py sha256/MD5/sha1 |
linux:
1 | sha256sum 3.txt |
把哈希放进在线检测平台查询
1 | https://www.virscan.org/ |
windows应急
| 命令 | 说明 |
|---|---|
| net user | 查看用户 |
| lusrmgr.msc | 查看用户组 |
| HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users(regedit注册表) | 查看注册表隐藏账户 |
| D盾 | 查看webshell |
| eventvwr.msc | 查看日志 |
| cmd输入wmic(任务管理器也一样) | process查看程序进程路径 |
| msconfig | 查看启动 |
| taskschd.msc | 计划任务 |
| systeminfo | 查看系统信息 |
| netstat -ano | findstr ESTABLISH | 建立的连接 |
| netstat -ano | find “LISTEN” | 等待连接端口 |
| netstat -ano | find “ip” | 找到通信进程 |
| tasklist | find “进程 id” | 找到木马文件 |
| query user | 当前用户会话 |
危险端口
1 | 21、135、137-139、445、4444、6660-6669、3127-3128、7778、12345、27374、1433-1434、44445、1080 |
蓝队应急响应工具
linux应急
| 命令 | 说明 |
|---|---|
| netstat -tunlp | grep “ip” | 通过IP找进程 |
| ps -ef | grep “进程 id” | 进程找文件 |
| ps -ef | grep bash | 查看bash运行任务 |
| crontab -l /r | 查看计划任务,crontab只会清除自身的任务,需要查看其他 -r清除 |
| cd etc/cron.d /daily/hourly/monthly/weekly | 查看存放与每天 |
| lsatter 1.sh | 查看权限 i权限为文件不可变 |
| sudo chattr -i 1.sh | 取消i权限 |
| kill -9 pid | 强制杀死进程 |
| cat /root/.bash_history | 查看历史命令 |
| ls /etc -ar | grep “^.“ | 列出etc下的点开头文件,包括隐藏文件 |
| top | 查看系统整体情况 |
一般步骤:
查看网站框架,语言,然后查看日志,一般日志是/var/log